X-twitter

VMware publica el aviso VMSA-2025-0016: parches para vulnerabilidades “Importantes” en vCenter y NSX (CVE-2025-41250/41251/41252)

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Broadcom (propietaria de VMware) ha emitido el aviso de seguridad VMSA-2025-0016 con fecha 29 de septiembre de 2025. El boletín confirma tres vulnerabilidades que afectan a VMware vCenter Server y a VMware NSX/NSX-T, clasificadas con gravedad “Importante” y un rango CVSSv3 de 7,5 a 8,5. La compañía ha publicado actualizaciones para los productos afectados y recomienda aplicar los parches de inmediato. No existen workarounds documentados.

Los CVE incluidos son:

  • CVE-2025-41250SMTP header injection en vCenter.
  • CVE-2025-41251Mecanismo débil de recuperación de contraseña en NSX.
  • CVE-2025-41252Enumeración de usuarios en NSX.

El aviso afecta a entornos VMware Cloud Foundation, vCenter Server (7.0 y 8.0), NSX/NSX-T, así como a las plataformas VMware Telco Cloud Platform e Infrastructure. A continuación, un recorrido por lo que se sabe, el impacto operativo y los parches disponibles.

Qué se ha descubierto y cómo podría explotarse

1) vCenter: inyección de cabeceras SMTP (CVE-2025-41250 — CVSS 8,5)

Descripción. vCenter contiene una vulnerabilidad de inyección de cabeceras SMTP. Según Broadcom, un actor con privilegios no administrativos, pero con permiso para crear tareas programadas, podría manipular los correos de notificación asociados a esas tareas.

Riesgo práctico. La explotación podría permitir alterar remitentes/destinatarios, inyectar contenidos o redireccionar notificaciones críticas (por ejemplo, alertas de backups, fallos de tareas o eventos operativos). En el peor caso, facilita phishing interno o exfiltración de información a través de canales de correo que los equipos confían por defecto.

Créditos. Broadcom agradece el reporte a Per von Zweigbergk.

Workaround. No hay mitigación temporal oficial. La remediación pasa por parchear.

2) NSX: mecanismo débil de recuperación de contraseña (CVE-2025-41251 — CVSS 8,1)

Descripción. VMware NSX presentaba un mecanismo débil en la recuperación de contraseñas que podría ser abusado por un atacante no autenticado para enumerar nombres de usuario válidos, facilitando ataques de fuerza bruta o preparación de intrusiones.

Créditos. La vulnerabilidad ha sido reportada por la National Security Agency (NSA) de EE. UU.

Workaround. No existe mitigación oficial temporal. Se debe actualizar a las versiones fijadas en la matriz de respuesta.

3) NSX: enumeración de usuarios (CVE-2025-41252 — CVSS 7,5)

Descripción. NSX contenía otro vector de enumeración de usuarios que, igual que el anterior, podría ser explotado sin autenticación para obtener listados de cuentas válidas, incrementando la superficie para intentos de acceso no autorizados.

Créditos. Reportado igualmente por la NSA.

Workaround. No hay mitigación temporal. Parcheo requerido.

Productos y versiones afectadas

El aviso cita, entre otros, a:

  • VMware vCenter Server (7.0 y 8.0).
  • VMware NSX (líneas 9.x, 4.2.x, 4.1.x y 4.0.x) y NSX-T 3.x.
  • VMware Cloud Foundation (9.x, 5.x, 4.5.x).
  • VMware vSphere Foundation (9.x).
  • VMware Telco Cloud Platform (5.x, 4.x, 3.x, 2.x) y Telco Cloud Infrastructure (3.x, 2.x).

Broadcom ha publicado parches para cada rama soportada. No se ofrecen medidas compensatorias: el parcheo es la única vía de remediación.

Versiones corregidas (resumen operativo)

Para CVE-2025-41250 (vCenter — SMTP header injection)

  • vCenter 8.08.0 U3g.
  • vCenter 7.07.0 U3w.
  • vCenter (en vSphere/Cloud Foundation 9)9.0.1.0.
  • Cloud Foundation 5.x (componente vCenter) → 5.2.2 (ver KB88287 para async patching).
  • Cloud Foundation 4.5.xasync patch a vCenter 7.0 U3w (ver KB88287).
  • Telco Cloud Platform / Telco Cloud Infrastructure (vCenter 5.x/4.x/3.x/2.x y 3.x/2.x) → ver KB411508.

Para CVE-2025-41251 y CVE-2025-41252 (NSX — password recovery débil y username enumeration)

  • NSX 9.x (incl. vSphere/Cloud Foundation 9) → 9.0.1.0.
  • NSX 4.2.x4.2.2.2 o 4.2.3.1.
  • NSX 4.1.x / 4.0.x4.1.2.7.
  • NSX-T 3.x3.2.4.3.
  • Cloud Foundation 5.x / 4.5.x (NSX) → ver KB88287 (Async Patching Guide).
  • Telco Cloud Platform / Telco Cloud Infrastructure (NSX 5.x/4.x/3.x y 3.x/2.x) → ver KB411518.

Importante. El VMSA remite a las notas de versión y páginas de descarga oficiales (vCenter 8.0 U3g, 7.0 U3w, NSX 4.2.3.1, 4.2.2.2, 4.1.2.7, NSX-T 3.2.4.3, VCF 9.0.1.0 y 5.2.2). Si su entorno está bajo Cloud Foundation, revise KB88287 para el procedimiento de parcheo asíncrono.

Qué deben hacer los administradores (prioridades y plan de acción)

  1. Inventario rápido.
    • Identifique todas las instancias de vCenter (7.0/8.0/9.x) y NSX/NSX-T en el entorno (incluyendo entornos Telco y Cloud Foundation).
    • Anote versión exacta y dependencias (plugins, soluciones que envían notificaciones por correo, integraciones con backups).
  2. Evaluar exposición y riesgo.
    • Para vCenter: compruebe quién tiene permiso de crear tareas programadas y adónde envían notificaciones. Si hay cuentas con permisos excesivos o destinatarios externos, revise.
    • Para NSX: determine si la interfaz de gestión es accesible desde segmentos no confiables. La enumeración de usuarios por actores no autenticados indica riesgo si esa superficie no está aislada.
  3. Planificar el parcheo.
    • Programe ventanas de mantenimiento y snapshots/backups de appliances antes de actualizar.
    • En Cloud Foundation, siga el procedimiento asíncrono (ver KB88287).
    • Valide compatibilidades (por ejemplo, productos que dependen de la versión exacta de vCenter o NSX).
  4. Aplicar parches según la matriz de respuesta.
    • vCenter 8.0 → 8.0 U3g; 7.0 → 7.0 U3w; vSphere/VCF 9 → 9.0.1.0.
    • NSX 9.x → 9.0.1.0; 4.2.x → 4.2.2.2 o 4.2.3.1; 4.1/4.0 → 4.1.2.7; NSX-T 3.x → 3.2.4.3.
    • Telco Cloud: siga KB411508 (vCenter) y KB411518 (NSX).
  5. Endurecimiento complementario (recomendado).
    • vCenter: reduzca a lo mínimo el número de usuarios que crean tareas; audite plantillas de correo; habilite MFA y alertado en SIEM de cambios en tareas programadas.
    • NSX/NSX-T: asegure que la UI/API de gestión no sea accesible desde Internet; active políticas de lockout y MFA; monitorice picos de intentos de autenticación (posible enumeración); alinee políticas de contraseña con estándares corporativos.
    • Registre en SIEM cualquier comportamiento anómalo (envíos inusuales de notificaciones SMTP, barridos de cuentas, etc.).
  6. Verificación post-parche.
    • Confirme las versiones objetivo (vCenter/NSX).
    • Valide notificaciones SMTP (formato, destinatarios) y accesos a NSX Manager.
    • Documente el cierre del riesgo en su matriz CVE interna.

¿Por qué este VMSA merece prioridad?

  • No hay mitigación temporal. Broadcom no publica workarounds: la única solución efectiva es actualizar.
  • Vectores “low-friction”. En vCenter, basta un usuario no admin con un permiso común (crear tareas) para alterar correos. En NSX, el atacante no autenticado puede enumerar usuarios, un prerrequisito clásico de la fuerza bruta o del password spraying.
  • Superficies críticas. vCenter y NSX son planos de control: cualquier abuso amplifica impacto sobre cómputo, red y segmentación.
  • Cumplimiento. Rapid remediation ayuda a alinear requisitos como NIS2 (UE) o expectativas de SEC (EE. UU.) sobre gestión de vulnerabilidades y divulgación.

Referencias y descargas (según el VMSA)

  • vCenter 8.0 U3g y 7.0 U3w — páginas de descarga y notas de versión oficiales.
  • Cloud Foundation 9.0.1.0 / 5.2.2 — descargas y release notes.
  • NSX 4.2.3.1 / 4.2.2.2 / 4.1.2.7 y NSX-T 3.2.4.3 — descargas y release notes.
  • KB88287Async Patching Guide para entornos VCF.
  • KB411508 / KB411518 — procedimientos para Telco Cloud.
  • Registros CVE oficiales (cve.org) para CVE-2025-41250, -41251 y -41252.
  • Contacto PSIRT: [email protected] (con PGP disponible).

(Las URL completas están recogidas en el aviso VMSA-2025-0016.)

Calendario y estado

  • Publicación inicial: 29-09-2025 (estado: OPEN).
  • Severidad: Importante (CVSS 7,5–8,5).
  • Productos impactados: vCenter / NSX / NSX-T y suites asociadas (Cloud Foundation, Telco Cloud Platform/Infrastructure).
  • Workarounds: no disponibles.

Conclusión

El VMSA-2025-0016 es un aviso de alto impacto operativo: afecta a los componentes núcleo de la pila VMware y no hay mitigación distinta al parcheo. Para reducir superficie de ataque:

  1. Inventariar y priorizar según exposición.
  2. Programar ventanas y actualizar a las versiones fijas indicadas.
  3. Endurecer permisos (tareas en vCenter, políticas de autenticación en NSX).
  4. Vigilar señales de enumeración, intentos de acceso y cambios en notificaciones SMTP.

Un parche aplicado a tiempo evita incidentes que, en planos de control, tienden a propagarse con rapidez.

Preguntas frecuentes

¿Qué riesgo real supone CVE-2025-41250 en vCenter y cómo mitigarlo hoy?
CVE-2025-41250 permite inyectar cabeceras SMTP en los correos de vCenter si el atacante no admin puede crear tareas programadas. El riesgo: alterar remitentes/destinatarios y usar notificaciones como vector de phishing o exfiltración. La única mitigación es parchear (8.0 → U3g, 7.0 → U3w, vSphere/VCF 9 → 9.0.1.0). Como medida adicional, revise quién puede crear tareas y audite plantillas/destinatarios de correo.

¿Cómo sé si mi versión de NSX está afectada por CVE-2025-41251/41252?
Si opera NSX 9.x, 4.2.x, 4.1.x, 4.0.x o NSX-T 3.x, está dentro del alcance. Las versiones fijas son 9.0.1.0, 4.2.2.2/4.2.3.1, 4.1.2.7 y 3.2.4.3 respectivamente. En Cloud Foundation 5.x/4.5.x, siga KB88287; en entornos Telco, KB411518. No hay workarounds, por lo que debe actualizar.

Si no puedo parchear hoy, ¿hay alguna mitigación temporal recomendada por VMware?
El VMSA indica expresamente “None” (ninguna). Aun así, como higiene defensiva, limite accesos de gestión (aisle interfaces de NSX), aplique MFA/lockout, monitorice enumeración de usuarios y revise permisos en vCenter para tareas programadas. Estas acciones no sustituyen el parche.

¿Dónde descargar vCenter 8.0 U3g / 7.0 U3w y NSX 4.2.3.1 / 4.1.2.7?
Broadcom facilita las descargas y notas de versión en su portal de soporte (enlaces referenciados en el VMSA-2025-0016). Para VCF, revise VCF 9.0.1.0, VCF 5.2.2 y la guía KB88287; para Telco Cloud, los KB411508/KB411518.

¿Quién reportó estas vulnerabilidades?
La de vCenter (CVE-2025-41250) fue reportada por Per von Zweigbergk. Las dos de NSX (CVE-2025-41251/41252) por la National Security Agency (NSA).

Aviso legal: este artículo resume el VMSA-2025-0016 publicado por Broadcom/VMware el 29-09-2025. Para decisiones de parcheo y compatibilidad, consulte siempre el aviso oficial, las notas de versión y la documentación de su producto.

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Antonio

Escribiendo sobre robótica, cloud computing, inteligencia artificial, y tecnología en general.

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

VMware publica el aviso VMSA-2025-0016: parches para vulnerabilidades “Importantes” en vCenter y NSX (CVE-2025-41250/41251/41252)

Oracle lanza una plataforma de IA para agricultura que promete anticipar amenazas y reforzar la seguridad alimentaria

Puppet extiende la automatización empresarial a dispositivos de red y edge: Perforce lanza Puppet Edge para unificar la gestión híbrida

Nasdaq y AWS se alían para modernizar la infraestructura financiera: Calypso se desplegará como servicio gestionado en la nube

×