Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en VMware ESXi y vCenter Server (CVE-2025-41228)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/05/2025
Última modificación:
21/05/2025

Descripción

VMware ESXi y vCenter Server presentan una vulnerabilidad de cross-site scripting reflejado debido a una validación de entrada incorrecta. Un agente malicioso con acceso de red a la página de inicio de sesión de ciertas rutas URL del host ESXi o vCenter Server podría aprovechar este problema para robar cookies o redirigir a sitios web maliciosos.