CVE-2025-41244
Mis à jour :
Vulnérabilité VMware : Escalade de privilèges locale via get-versions.sh
Une faille de sécurité, identifiée sous la référence CVE-2025-41244, a été découverte dans VMware Tools et VMware Aria Operations. Elle permet une escalade de privilèges locale. Cette vulnérabilité provient de l’utilisation de motifs d’expressions régulières trop permissifs dans le script get-versions.sh, exploité par les deux produits.
Points Clés :
- La fonction
get_version()dansget-versions.shscanne les ports ouverts et exécute des binaires correspondants pour obtenir des informations de version. - L’expression régulière
\S(caractère non espace blanc) inclut involontairement des répertoires modifiables par l’utilisateur, comme/tmp/httpd. - Un attaquant peut placer des binaires malveillants dans ces répertoires accessibles en écriture.
- Le contexte privilégié de VMware exécute ensuite ces binaires malveillants, accordant ainsi des privilèges élevés à l’attaquant.
- Cette vulnérabilité est classifiée sous CWE-426 : “Untrusted Search Path”, facilitant grandement l’escalade de privilèges locale.
Vulnérabilités :
- CVE-2025-41244 : Vulnérabilité d’escalade de privilèges locale.
- CWE-426 : Chemin de recherche non fiable (Untrusted Search Path).
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations de correction, la nature de la vulnérabilité suggère que les mesures suivantes seraient pertinentes :
- Mise à jour de VMware Tools et VMware Aria Operations vers des versions corrigées.
- Revue et renforcement des expressions régulières utilisées dans les scripts de gestion de versions pour exclure les répertoires non fiables.
- Application de restrictions sur les chemins où des exécutables peuvent être placés et exécutés dans des environnements privilégiés.