一、漏洞背景

VMware vCenter Server 是 VMware 公司的集中管理平台，允许管理员从单个控制台管理和控制 ESXi 主机及其虚拟机。近日，监测到 VMware vCenter Server 存在一个命令执行漏洞 (CVE-2025-41225)。

二、漏洞详情
漏洞名称 VMware vCenter 存在命令执行漏洞
CVE 编号 CVE-2025-41225
漏洞类型 命令执行
漏洞描述 具有创建或修改告警和运行脚本操作权限的攻击者可以利用该漏洞在 vCenter Server 上执行任意命令。
CVSS3.1 评分 8.8
漏洞危害等级 高危
影响产品 VMware vCenter
影响版本
vCenter Server 7.0
vCenter Server 8.0
VMware Cloud Foundation (vCenter) 4.5.x
VMware Cloud Foundation (vCenter) 5.x
VMware Telco Cloud Platform (vCenter) 2.x、3.x、4.x、5.x
VMware Telco Cloud Infrastructure (vCenter) 3.x
VMware Telco Cloud Infrastructure (vCenter) 2.x

三、漏洞影响
攻击者在拥有创建或修改告警和运行脚本操作权限的前提下，可利用此漏洞在 vCenter Server 上执行任意命令。成功利用该漏洞可能导致攻击者完全控制 vCenter Server，进而可能控制其管理的所有 ESXi 主机和虚拟机，造成数据泄露、系统瘫痪或被用作进一步攻击的跳板。该产品主要使用客户行业分布广泛，漏洞危害性高。

四、处置建议
官方修复方案
官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。
安全版本
vCenter Server 7.0:7.0 U3v
vCenter Server 8.0:8.0 U3e
VMware Cloud Foundation (vCenter) 4.5.x: Async patch to 7.0 U3v
VMware Cloud Foundation (vCenter) 5.x: Async patch to 8.0 U3e
VMware Telco Cloud Platform (vCenter) 2.x、3.x、4.x、5.x: 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x: 7.0 U3v
VMware Telco Cloud Infrastructure (vCenter) 3.x: 8.0 U3e
官方链接
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/vcenter-server-update-and-patch-release-notes.html
参考资料
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717