Broadcom, Windows için VMware araçlarında bir kimlik doğrulama bypass’a yol açabilecek yüksek şiddetli bir güvenlik kusurunu ele almak için güvenlik yamaları yayınladı.
CVE-2025-22230 olarak izlenen güvenlik açığı, on noktalı ortak güvenlik açığı puanlama sisteminde (CVSS) 7.8 olarak derecelendirilir.
Broadcom Salı günü yayınlanan bir uyarıda, “Windows için VMware Tools, uygunsuz erişim kontrolü nedeniyle bir kimlik doğrulama baypas güvenlik açığı içeriyor.” Dedi. “Bir Windows Konuk VM’de yönetici olmayan ayrıcalıklara sahip kötü niyetli bir aktör, bu VM içinde belirli yüksek pratik operasyonları gerçekleştirme yeteneği kazanabilir.”
Kusurun keşfedilmesi ve raporlanmasıyla tanınan Rus siber güvenlik şirketi pozitif teknolojilerinden Sergey Bliznyuk’tur.
CVE-2025-22230, Windows sürümleri için VMware araçlarını etkiler 11.xx ve 12.xx Sürüm 12.5.1’de sabitlenmiştir. Sorunu ele alan hiçbir geçici çözüm yoktur.
Crushftp yeni kusurları açıklar
Geliştirme, Crushftp’in müşterileri “doğrulanmamış bir HTTP (S) bağlantı noktası erişimi”, Crushftp sürüm 10 ve 11’i etkileyen güvenlik açığı konusunda uyardı. Henüz bir CVE tanımlayıcısı atanmadı.
Şirket, “Bu sorun crushftp v10/v11’i etkiliyor, ancak Crushftp’in DMZ işlevine sahipseniz işe yaramıyor.” Dedi. Diyerek şöyle devam etti: “Güvenlik açığı sorumlu bir şekilde açıklandı, bildiğimiz vahşi doğada aktif olarak kullanılmıyor, şu anda daha fazla ayrıntı verilmeyecek.”
Siber güvenlik şirketi Rapid7 tarafından paylaşılan ayrıntılara göre, güvenlik açığının başarılı bir şekilde kullanılması, açıkta kalan bir HTTP (S) limanı aracılığıyla kimlik doğrulanmamış erişime yol açabilir.
Daha önce kötü niyetli aktörler tarafından kullanılan VMware ve Crushftp’deki güvenlik kusurları ile, kullanıcıların güncellemeleri mümkün olan en kısa sürede uygulamak için hızlı bir şekilde hareket etmeleri önemlidir.