VMware 修復了 VMware ESXi、Workstation、Fusion 和 Tools 中的四個漏洞，這些漏洞在 2025 年 5 月的 Pwn2Own Berlin 2025 黑客大賽中被利用為零日漏洞。已修補的三個漏洞的嚴重等級為 9.3，因為它們允許在客戶虛擬機器中執行的程式在主機上執行命令。

這些漏洞的編號分別為 CVE-2025-41236、CVE-2025-41237 和 CVE-2025-41238。

• CVE-2025-41236：VMware ESXi、Workstation 和 Fusion 的 VMXNET3 虛擬網路介面卡中存在整數溢位漏洞。 STARLabs SG 的 Nguyen Hoang Thach 在 Pwn2Own 競賽中利用了此漏洞。
• CVE-2025-41237：VMware ESXi、Workstation 和 Fusion 的 VMCI（虛擬機器通訊介面）中存在整數下溢，可導致越界寫入。該漏洞在 Pwn2Own 安全競賽中被 REverse Tactics 的 Corentin BAYET 利用。
• CVE-2025-41238：VMware ESXi、Workstation 和 Fusion 的 PVSCSI（半虛擬化 SCSI）控制器中存在一個堆疊溢位漏洞，該漏洞會導致越界寫入。擁有虛擬機器本機管理權限的惡意行為者可以利用此漏洞，以虛擬機器在主機上執行的 VMX 程序的身份執行程式碼。 Pwn2Own 競賽中，Synacktiv 的 Thomas Bouzerar 和 Etienne Helluy-Lafont 利用了這個漏洞。
• 第四個漏洞編號為 CVE-2025-41239，由於涉及資訊洩露，因此評級為 7.1。該漏洞也是由 REverse Tactics 的 Corentin BAYET 發現的，他在黑客大賽期間利用 CVE-2025-41237 漏洞進行了連環攻擊。

VMware 尚未提供任何解決方法，修復這些漏洞的唯一方法是安裝新版本的軟體。需要注意的是，CVE-2025-41239 會影響適用於 Windows 的 VMware Tools，這需要不同的升級過程