Broadcom publica parches de emergencia tras detectarse fallos explotables en el evento Pwn2Own 2025

Broadcom ha emitido la alerta de seguridad VMSA-2025-0013, calificando como críticas varias vulnerabilidades que afectan a los productos VMware ESXi, Workstation, Fusion y Tools, ampliamente utilizados en entornos empresariales y centros de datos. La publicación, que incluye los identificadores CVE-2025-41236 a CVE-2025-41239, se ha realizado tras la participación de investigadores en el evento Pwn2Own 2025 celebrado en Berlín.

La puntuación CVSS de los fallos oscila entre 6,2 y 9,3, y no existen soluciones alternativas o workarounds para mitigarlos. Broadcom insta a aplicar parches inmediatos en los entornos afectados.

Vulnerabilidades detalladas

1. CVE-2025-41236: Desbordamiento de enteros en el adaptador de red virtual VMXNET3. Permite a un atacante con privilegios locales ejecutar código en el host desde una máquina virtual. Calificación: Crítica (CVSS 9,3).
2. CVE-2025-41237: Subdesbordamiento en VMCI (interfaz de comunicación entre máquinas virtuales), que posibilita escritura fuera de límites y ejecución de código como proceso VMX del host. Afecta especialmente a Workstation y Fusion. Calificación: Crítica (CVSS 9,3).
3. CVE-2025-41238: Desbordamiento de memoria heap en el controlador PVSCSI, también con posibilidad de ejecución de código desde una VM hacia el host. Requiere una configuración no soportada para ser explotable en ESXi. Calificación: Crítica (CVSS 9,3).
4. CVE-2025-41239: Fuga de información a través de vSockets, debido al uso de memoria no inicializada. Puede permitir el acceso a contenido de otros procesos. Calificación: Importante (CVSS 7,1).

Impacto confirmado y productos afectados

Están afectados productos ampliamente desplegados como:

• VMware ESXi 7 y 8
• VMware Workstation 17.x
• VMware Fusion 13.x
• VMware Tools (principalmente en sistemas Windows)
• VMware Cloud Foundation
• VMware Telco Cloud Platform

Los productos vCenter Server, NSX y SDDC Manager no se ven afectados directamente, aunque se recomienda mantenerlos actualizados para garantizar compatibilidad.

¿Qué implica este fallo para los entornos virtualizados?

Según los expertos en seguridad, estas vulnerabilidades permiten una posible “VM escape”, es decir, que un atacante que controle una máquina virtual pueda comprometer el hipervisor y acceder a otras máquinas virtuales o al propio host físico.

“Este tipo de vulnerabilidades tiene un impacto profundo en la seguridad de entornos virtualizados, especialmente en infraestructuras críticas”, comenta David Carrero, cofundador de la empresa europea Stackscale. “La rapidez en la aplicación de parches es clave para minimizar riesgos.”

No es un 0-day, pero sí urgente

Aunque estas vulnerabilidades fueron descubiertas en un entorno controlado y comunicadas de forma coordinada como parte del evento Pwn2Own, Broadcom confirma que no se trata de fallos explotados activamente en la red. No obstante, la urgencia para aplicar los parches es alta dado su potencial impacto.

No existen soluciones temporales. Los entornos con vMotion deben migrar las VMs antes de reiniciar los hosts para minimizar el tiempo de inactividad.

Acciones recomendadas

• Aplicar los parches oficiales correspondientes al producto y versión según la matriz de respuesta de Broadcom.
• Actualizar también VMware Tools en máquinas virtuales Windows, ya que el componente vSockets puede exponer datos sensibles.
• Consultar el documento de preguntas frecuentes para detalles específicos y casos complejos.
• Suscribirse a la lista de alertas de seguridad de VMware para recibir notificaciones proactivas.

Conclusión

Esta alerta representa uno de los episodios más graves de seguridad en el ecosistema VMware en lo que va de año. La naturaleza de las vulnerabilidades y el potencial de ejecución de código desde una VM hacia el host ponen de relieve la necesidad de políticas de actualización continua y vigilancia proactiva en plataformas de virtualización.

Como siempre, las mejores prácticas incluyen segmentación de redes, privilegios mínimos, control de acceso y revisión periódica de las imágenes virtuales utilizadas.

Más información oficial disponible en:
🔗 VMSA-2025-0013 Advisory
🔗 Parches y descargas accesible con soporte activo