VMware - CVE-2025-41251
Date de publication :
Une vulnérabilité dans le mécanisme de récupération de mot passe permet à un attaquant non authentifié d’énumérer les noms d’utilisateur valide pouvant conduire à des attaques par force brute.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-640: Weak Password Recovery Mechanism for Forgotten Password
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
VMware :
• Cloud Foundation - VMware NSX versions 4.5x, 5.x et 9.x.x.x
• vSphere Foundation - VMware NSX version 9.x.x.x
• NSX versions 4.0.x, 4.1.x et 4.2.x
• NSX-T version 3.x
• Telco Cloud Infrastructure - VMware NSX versions 2.x et 3.x
• Telco Cloud Platform - VMware NSX versions 3.x, 4.x et 5.x
Solutions ou recommandations
Mettre à jour NSX pour Cloud Foundation vers la version 9.0.1.0 ou appliquer le correctif KB88287 aux versions 4.5.x et 5.x.
Mettre à jour NSX pour vSphere Foundation vers la version 9.0.1.0 ou ultérieure.
Mettre à jour NSX 4.2.x vers 4.2.2.2, 4.2.3.1 ou ultérieure.
Mettre à jour NSX 4.0.x et 4.1.x vers 4.1.2.7 ou ultérieure.
Mettre à jour NSX-T vers la version 3.2.4.3 ou ultérieure.
Appliquer le correctif KB411518 à Telco Cloud Infrastructure et Platform.
Des informations complémentaires sont disponibles dans le bulletin de VMware.