CVE-2024-22252

VMware ESXi, Workstation, és Fusion sérülékenysége
Angol cím: VMware ESXi, Workstation, and Fusion vulnerability

Publikálás dátuma: 2024.03.05.
Utolsó módosítás dátuma: 2024.03.05.


Leírás

A memória felszabadítása után a program összeomolhat, mivel nem megfelelő értékeket használhat vagy végrehajthatja a kódot.

Leírás forrása: CWE-416


Elemzés leírás

Eredeti nyelven: VMware ESXi, Workstation, and Fusion contain a use-after-free vulnerability in the XHCI USB controller. A malicious actor with local administrative privileges on a virtual machine may exploit this issue to execute code as the virtual machine’s VMX process running on the host. On ESXi, the exploitation is contained within the VMX sandbox whereas, on Workstation and Fusion, this may lead to code execution on the machine where Workstation or Fusion is installed.

Elemzés leírás forrása: CVE-2024-22252


Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 8.4 (Magas)
Vektor: AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Hatás pontszáma: 6.0
Kihasználhatóság pontszáma: 1.7


Támadás Vektora (AV): Szomszédos
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Magas
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

vmware.com

Sérülékeny szoftverek

VMware Fusion: 13.0 - 13.5
VMware Workstation: 17.0 - 17.5


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
CVE-2025-30377 – Microsoft Office Remote Code Execution sebezhetősége
CVE-2024-57726 – SimpleHelp sebezhetősége
CVE-2024-57728 – SimpleHelp sebezhetősége
CVE-2025-20114 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20113 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20152 – Cisco Identity Services Engine RADIUS Denial of Service sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
Tovább a sérülékenységekhez »