Broadcom VMware hat mit dem Security Advisory VMSA-2025-0016 eine neue Sicherheitslücke in vCenter Server bekannt gegeben, die als SMTP Header Injection Vulnerability (CVE-2025-41250) klassifiziert und einem CVSSv3-Score 8.5 bewertet wurde.
Was ist SMTP Header Injection?
Die SMTP Header Injection Vulnerability in vCenter Server ermöglicht es Angreifern, bösartige SMTP-Header in E-Mail-Nachrichten einzuschleusen, die vom vCenter Server versendet werden. Dies kann zu verschiedenen Angriffsszenarien führen, einschließlich E-Mail-Spoofing und potentieller Code-Ausführung über manipulierte E-Mail-Header.
Potentielle Auswirkungen
E-Mail-Manipulation: Angreifer können den Inhalt und die Eigenschaften von E-Mails verändern, die von vCenter Server versendet werden. Dies kann zur Umleitung von E-Mails, zur Manipulation von E-Mail-Inhalten oder zur Verwendung des vCenter Servers als Spam-Relay führen.
Phishing-Angriffe: Durch die Kontrolle über E-Mail-Header können Angreifer gefälschte E-Mails versenden, die scheinbar von vertrauenswürdigen Quellen stammen.
Information Disclosure: Sensitive Informationen könnten über manipulierte E-Mails an unbefugte Empfänger weitergeleitet werden.
Betroffene Produkte & Versionen
- VMware vCenter 7.0 und 8.0
- VMware vSphere Foundation vCenter 9.0
- VMware Cloud Foundation vCenter 9.0
- VMware Cloud Foundation vCenter 5.2
- VMware Cloud Foundation vCenter 4.5
Sie sind betroffen, wenn Sie eine nicht unter „fixed Version“ aufgeführte Versionen verwenden.
Gerne unterstützt Sie das AU Engineering Team für die Überprüfung und ggf. Updates Ihrer Umgebung.
Fixed Versions
- VMware vCenter 8.0 U3g
- VMware vCenter 7.0 U3w
- VMware vSphere/Cloud Foundation vCenter 9.0.1.0
- VMware Cloud Foundation vCenter 5.2.2
Downloads
VMware vCenter 8.0 U3g
Downloads and Documentation:
https://support.broadcom.com/web/ecx/solutiondetails?patchId=15964
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/vcenter-server-update-and-patch-release-notes/vsphere-vcenter-server-80u3g-release-notes.html
VMware vCenter 7.0 U3w
Downloads and Documentation:
https://support.broadcom.com/web/ecx/solutiondetails?patchId=15986
https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/release-notes/vcenter-server-update-and-patch-releases/vsphere-vcenter-server-70u3w-release-notes.html
VMware vSphere Foundation 9.0.1.0:
Downloads and Documentation:
https://support.broadcom.com/group/ecx/productfiles?displayGroup=VMware%20vSphere%20Foundation%209&release=9.0.1.0&os=&servicePk=534207&language=EN&groupId=534225&viewGroup=true
VMware Cloud Foundation 9.0.1.0:
Downloads and Documentation:
https://support.broadcom.com/group/ecx/productfiles?displayGroup=VMware%20Cloud%20Foundation%209&release=9.0.1.0&os=&servicePk=534266&language=EN&groupId=534225&viewGroup=true
VMware Cloud Foundation 5.2.2
Downloads and Documentation:
https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/vcf-release-notes/vmware-cloud-foundation-522-release-notes.htmlÄnderung beim Herunterladen von VMware-Software-Binaries
VMware Broadcom Änderungen beim Herunterladen von VMware-Software-Patches