VMware a publié des mises à jour aux produits Workstation, Fusion et ESXi afin de corriger une vulnérabilité de sécurité "importante" qui pourrait être exploitée pour prendre le contrôle des systèmes affectés.

Le problème, nommé CVE-2021-22045 et ayant un score CVSS de 7,7, est un dépassement de capacité du tas qui peut entrainer l'exécution de code arbitraire.

"Un acteur malveillant ayant accès à une machine virtuelle avec émulation de périphérique CD-ROM peut être en mesure d'exploiter cette vulnérabilité en conjonction avec d'autres problèmes pour exécuter du code sur l'hyperviseur à partir d'une machine virtuelle", a déclaré VMware dans son avis.

Le problème affecte les versions 6.5, 6.7 et 7.0 d'ESXi, les versions 16.x de Workstation et les versions 12.x de Fusion, la société n'ayant pas encore publié de correctif pour ESXi 7.0. En attendant, la société recommande aux utilisateurs de désactiver tous les périphériques CD-ROM/DVD sur toutes les machines virtuelles en cours d'exécution afin d'éviter toute exploitation potentielle.

Il est recommandé aux entreprises de procéder rapidement aux mises à jour nécessaires.