CVE-2025-41236

VMware ESXi, Workstation ба Fusion бүтээгдэхүүнүүдийн VMXNET3 виртуал сүлжээний төхөөрөмжид бүхэл тооны доод хэтрэлтийн эмзэг байдал (integer-overflow vulnerability) байдаг. Виртуал машин дээрх локал админ эрхтэй халдагч этгээд тус эмзэг байдлыг ашиглан VMXNET3 сүлжээний төхөөрөмж рүү тусгайлан бэлтгэсэн өгөгдөл илгээх замаар санах ойд тооцооллын алдаа үүсгэдэг ба улмаар хост машин дээр дурын код ажиллуулж (RCE) болдог. VMXNET3-ээс өөр виртуал сүлжээний төхөөрөмжүүдэд тухайн эмзэг байдал байдаггүй. 

CVSS Version 3.x оноо 9.3 ноцтой гэсэн үнэлгээтэй байна.

Засварлах зөвлөмж:

1. Эмзэг байдал засагдсан хувилбараар нөөцлөлт (backup, snapshot) заавал хийсний дараагаар программын шинэчлэлт хийх.

    

2. Виртуал машин дээрх локал админ эрхийг хянах, хязгаарлах, хэрэгцээгүй админ эрхүүдийг устгах.

    

3. Хостын хамгаалалтыг сайжруулах, MFA ашиглах.

    

4. Интернэтэд гарцтай VMXNET3 сүлжээний төхөөрөмжтөй виртуал машиныг сүлжээнээс тусгаарлах.

    

5. Программын шинэчлэлт хийгдтэл VMXNET3-с өөр сүлжээний төхөөрөмж ашиглах.