Куда я попал?
CVE-2024-22252
PUBLISHED
27.03.2025
CNA: vmware
Use-after-free vulnerability
Обновлено:
05.03.2024
VMware ESXi, Workstation, and Fusion contain a use-after-free vulnerability in the XHCI USB controller. A malicious actor with local administrative privileges on a virtual machine may exploit this issue to execute code as the virtual machine's VMX process running on the host. On ESXi, the exploitation is contained within the VMX sandbox whereas, on Workstation and Fusion, this may lead to code execution on the machine where Workstation or Fusion is installed.
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2024-01807 | Уязвимость USB-контроллера XHCI программных продуктов VMware ESXi, Workstation, Fusion, Cloud Foundation, позволяющая нарушителю выполнить произвольный код |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20240311-35 | 11.03.2024 | Выполнение произвольного кода в VMware ESXi |
| VULN:20240426-10 | 26.04.2024 | Выполнение произвольного кода в Dell custom VMware ESXi |
| VULN:20240830-43 | 30.08.2024 | Выполнение произвольного кода в Dell PowerFlex Appliance |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 9.3 | CRITICAL | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Доп. Информация
Product Status
| VMware ESXi | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Product: | VMware ESXi | ||||||||
| Vendor: | n/a | ||||||||
| Default status: | unaffected | ||||||||
| Версии: |
|
||||||||
| VMware Workstation | |||||
|---|---|---|---|---|---|
| Product: | VMware Workstation | ||||
| Vendor: | n/a | ||||
| Default status: | unaffected | ||||
| Версии: |
|
||||
| VMware Fusion | |||||
|---|---|---|---|---|---|
| Product: | VMware Fusion | ||||
| Vendor: | n/a | ||||
| Default status: | unaffected | ||||
| Версии: |
|
||||
| VMware Cloud Foundation | |||||||
|---|---|---|---|---|---|---|---|
| Product: | VMware Cloud Foundation | ||||||
| Vendor: | n/a | ||||||
| Default status: | unaffected | ||||||
| Версии: |
|
||||||
Ссылки
CVE Program Container
Обновлено:
01.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
CISA ADP Vulnrichment
Обновлено:
27.03.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | no | total | 2.0.3 | 05.03.2024 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.