Kritisk sårbarhed i VMware Tools for Windows

Der er fundet en sårbarhed i VMware Tools for Windows, der kan give en angriber med begrænsede rettigheder mulighed for at afvikle operationer med højere privilegier inden for en virtuel maskine. 

Det skriver Security Week med henvisning til en sikkerhedsbulletin fra Broadcom.

Sårbarheden har id’et CVE-2025-22230 og en CVSS-score på 7,8. Sårbarheden er altså alvorlig, men ikke ”kritisk”.

Problemet stammer fra ukorrekt adgangskontrol i VMware Tools' vgauth-modul. En angriber med ikke-administrative rettigheder på en virtuel Windows-instans kan udnytte sårbarheden til at udføre handlinger, der normalt kræver højere privilegier. Dette kan kompromittere både fortroligheden og integriteten af den virtuelle maskine. Det bemærkes, at Linux- og macOS-versionerne af VMware Tools ikke er påvirket af denne specifikke sårbarhed.

Broadcom frigivet en sikkerhedsopdatering i VMware Tools for Windows version 12.5.1, som adresserer problemet. 

Det anbefales fra producentens side, at alle brugere og administratorer af VMware Tools for Windows opdaterer til den nyeste version så hurtigt som muligt.