Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en VMware (CVE-2025-22241)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
13/06/2025
Última modificación:
17/06/2025

Descripción

El contenido del archivo sobrescribe la clase VirtKey, que se invoca cuando se solicitan datos del pilar bajo demanda y utiliza datos no validados para crear rutas al directorio PKI. Esta función se utiliza para aceptar automáticamente las claves de autenticación de Minion basándose en un archivo de autorización preinstalado en una ubicación específica y está presente en la configuración predeterminada.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.60 MEDIA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.60
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información