VMware corrige seis vulnerabilidades críticas em produtos usados globalmente e na Europa

A Broadcom, que detém a VMware, anunciou a disponibilização de patches para seis vulnerabilidades que afetam as plataformas VMware Aria Operations, NSX, vCenter e VMware Tools, quatro delas classificadas como de alta gravidade. Embora não haja registo de exploração ativa, a empresa aconselha os clientes a aplicar as correções com urgência.

Entre as falhas destacam-se bugs de escalonamento de privilégios e de acesso não autorizado que permitem a cibercriminosos locais obter controlo administrativo sobre máquinas virtuais. Um dos casos mais críticos, identificado como CVE-2025-41244, pode ser explorado por utilizadores sem privilégios administrativos em VM com VMware Tools e Aria Operations para alcançar permissões de root.

Foram ainda corrigidos problemas adicionais, como a divulgação indevida de credenciais (CVE-2025-41245), um defeito no Tools for Windows que pode abrir caminho ao acesso entre máquinas virtuais (CVE-2025-41246) e um bug de injeção de cabeçalho SMTP no vCenter (CVE-2025-41250) que permitiria manipular notificações por email. O NSX também foi alvo de duas correções de alta gravidade ligadas à enumeração de utilizadores e ao uso de mecanismos de recuperação de senha frágeis (CVE-2025-41251 e CVE-2025-41252).

As atualizações foram incluídas nas versões mais recentes do Aria Operations (8.18.5), Cloud Foundation, vSphere Foundation, VMware Tools e Telco Cloud Infrastructure, abrangendo também versões específicas do vCenter e NSX.