La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una rotura de seguridad de entrada importancia que afecta a Broadcom VMware Tools y VMware Solo Operations a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-41244 (puntuación CVSS: 7,8), que podría ser aprovechada por un atacante para obtener privilegios de nivel raíz en un sistema susceptible.
«Broadcom VMware Solo Operations y VMware Tools contienen un privilegio definido con vulnerabilidad de acciones inseguras», dijo CISA en una alerta. «Un actor locorregional solapado con privilegios no administrativos que tenga llegada a una máquina aparente con VMware Tools instalado y administrado por Solo Operations con SDMP cobrador puede explotar esta vulnerabilidad para ascender privilegios a root en la misma máquina aparente».
La vulnerabilidad fue abordada por VMware, propiedad de Broadcom, el mes pasado, pero no antaño de que actores de amenazas desconocidos la explotaran como día cero desde mediados de octubre de 2024, según NVISO Labs. La compañía de ciberseguridad dijo que descubrió la vulnerabilidad a principios de mayo durante un compromiso de respuesta a incidentes.
La actividad se atribuye a un actor de amenazas vinculado a China que Google Mandiant rastrea como UNC5174, y NVISO Labs describe la rotura como trivial de explotar. Actualmente se han retenido los detalles sobre la carga útil exacta ejecutada tras la militarización de CVE-2025-41244.
«Cuando tiene éxito, la explotación de la ascenso de privilegios locorregional da como resultado que los usuarios sin privilegios logren la ejecución de código en contextos privilegiados (por ejemplo, raíz)», dijo el investigador de seguridad Maxime Thiebaut. «Sin incautación, no podemos evaluar si este exploit era parte de las capacidades del UNC5174 o si el uso del día cero fue meramente accidental correcto a su trivialidad».
Incluso se incluye en el catálogo KEV una vulnerabilidad crítica de inyección de evaluación en XWiki que podría permitir a cualquier heredero invitado realizar una ejecución remota de código despótico mediante una solicitud especialmente diseñada al punto final «/bin/get/Main/SolrSearch». A principios de esta semana, VulnCheck reveló que observó intentos de actores de amenazas desconocidos para explotar la rotura y entregar un minero de criptomonedas.
Las agencias del Poder Ejecutor Civil Federal (FCEB) deben aplicar las mitigaciones necesarias antaño del 20 de noviembre de 2025 para proteger sus redes contra amenazas activas.
