CVE-2025-41244

1 minute de lecture

Mis à jour : November 02, 2025

Escalade de privilèges locale dans VMware Tools et Aria Operations via des chemins de recherche non fiables

Une vulnérabilité (CVE-2025-41244) a été identifiée, permettant une escalade de privilèges locale au sein de VMware Tools et VMware Aria Operations. Le problème réside dans l’utilisation de motifs d’expressions régulières trop permissifs dans le script get-versions.sh, un composant partagé par les deux produits.

Ce script, conçu pour récupérer des informations de version en examinant les sockets actifs et en exécutant des binaires correspondants, utilise par inadvertance le caractère spécial \S (qui correspond à tout caractère non blanc). Cela inclut des répertoires accessibles en écriture par l’utilisateur, comme /tmp/httpd.

Un attaquant peut exploiter cette faille en plaçant des binaires malveillants dans de tels répertoires. Le contexte privilégié de VMware exécutera alors ces binaires, accordant ainsi des privilèges élevés à l’attaquant. Cette faille correspond à la catégorie CWE-426 (Chemin de recherche non fiable), offrant une méthode simple d’escalade de privilèges locale.

Points Clés :

Type de Vulnérabilité : Escalade de privilèges locale.
Produits Affectés : VMware Tools, VMware Aria Operations.
Composant Vulnérable : Script get-versions.sh et sa fonction get_version().
Cause Racine : Utilisation d’expressions régulières trop larges (\S) incluant des répertoires accessibles en écriture par l’utilisateur.
Moyen d’Exploitation : Placement de binaires malveillants dans des chemins de recherche non fiables.

Vulnérabilité Spécifique :

CVE-2025-41244
CWE-426 : Chemin de recherche non fiable (Untrusted Search Path)

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques de correctif, les mesures générales pour atténuer ce type de vulnérabilité incluent :

Mettre à jour les produits VMware vers des versions corrigées dès leur disponibilité.
Appliquer des politiques de sécurité strictes concernant les permissions d’accès aux fichiers et répertoires.
Effectuer une surveillance régulière des journaux pour détecter toute activité suspecte, notamment l’exécution de binaires dans des emplacements inattendus.
Revoir et restreindre l’utilisation des scripts et des chemins de recherche par défaut pour minimiser les surfaces d’attaque.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-41244

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast