根据CVSS风险评分高低,最严重的是 重大层级的CVE-2025-22224,此为涉及检查时间及使用时间(TOCTOU)的竞争条件弱点,而有机会造成虚拟机器通讯介面(VMCI)的记忆体溢位,一旦触发,将有可能引起记忆体越界写入(OBW),风险值达到9.3分(满分10分),影响ESXi、Cloud Foundation、VMware Telco Cloud Platform,以及Workstation。攻击者若是取得虚拟机器的本机管理员权限,就有机会透过VMX处理程序,在主机上执行任意程式码。
资安风险次高的漏洞为CVE-2025-22225,此为存在于ESXi、Cloud Foundation、VMware Telco Cloud Platform的漏洞,Workstation、Fusion不受影响。此为任意写入漏洞,一旦攻击者取得VMX处理程序的特殊权限,就有机会触发核心任意写入的现象,从而进行沙箱逃逸,风险值为8.2。
第三个被用于实际攻击行动的弱点CVE-2025-22226,为主机与虚机机器的档案共用系统(HGFS)资讯泄露弱点,攻击者在取得虚拟机器管理者权限的情况下,就有机会触发并泄露VMX处理程序存放于记忆体的内容,风险值为7.1。值得留意的是,虽然这项弱点的危险程度是三者当中最低,但影响范围最广,涵盖ESXi、Cloud Foundation、VMware Telco Cloud Platform、Workstation,以及Fusion。