vulnerabilities

VMware vCenter Server认证命令执行漏洞(CVE-2025-41225)

tom·May 23, 2025

基本信息

漏洞编号: CVE-2025-41225
危险等级: 高危
漏洞类型: 命令执行
影响组件: VMware vCenter Server
验证状态: 已验证
修复状态: 官方已发布修复版本

漏洞详情

VMware vCenter Server 存在认证命令执行漏洞(CVE-2025-41225)。攻击者如具备创建或修改警报及执行脚本操作的权限,可利用该漏洞在 vCenter Server 上执行任意系统命令,进而可能获取服务器控制权或滥用系统资源。该漏洞无需用户交互,利用难度低,若被利用将严重危害虚拟化环境安全。

影响范围

影响版本

vCenter Server 8.0 < 8.0 U3e
vCenter Server 7.0 < 7.0 U3v
VMware Cloud Foundation (vCenter) = 5.x
VMware Cloud Foundation (vCenter) = 4.5.x
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x < 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 3.x < 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x < 7.0 U3v

受影响的产品

  • VMware vCenter Server
  • VMware Cloud Foundation (vCenter)
  • VMware Telco Cloud Platform (vCenter)
  • VMware Telco Cloud Infrastructure (vCenter)

验证方法

  1. 登录 vCenter Server 后台,检查当前 vCenter 版本号和补丁级别。
  2. 对比环境版本与官方公告中的受影响版本列表。

修复方案

方案一:版本升级(强烈推荐)

官方已发布安全更新,建议尽快升级至以下安全版本或更高版本:
vCenter Server 8.0 ≥ 8.0 U3e
vCenter Server 7.0 ≥ 7.0 U3v
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x ≥ 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 3.x ≥ 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x ≥ 7.0 U3v