Oracle ha revelado múltiples vulnerabilidades críticas en el componente Core de Oracle VM VirtualBox versiones 7.1.12 y 7.2.2 que permiten a atacantes locales con altos privilegios comprometer la confidencialidad, integridad y disponibilidad del entorno VirtualBox. Estas fallas de alta gravedad, descritas en el parche crítico de octubre de 2025, facilitan escenarios de toma total del sistema afectado, poniendo en riesgo datos sensibles y la estabilidad de la virtualización.
CVE y severidad
|
CVE ID |
Componente |
Versiones afectadas |
CVSS v3.1 Base Score |
Vector de ataque |
Complejidad de ataque |
Interacción usuario |
Explotación remota |
|
Core |
7.1.12, 7.2.2 |
8.2 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.2 |
8.2 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.2 |
8.2 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.2 |
8.2 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.2 |
8.2 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.27.5 |
7.5 |
Local |
Alta |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.26.5 |
6.5 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.26.0 |
6.0 |
Local |
Baja |
Ninguna |
No |
|
|
Core |
7.1.12, 7.2.26.0 |
6.0 |
Local |
Baja |
Ninguna |
No |
Productos afectados
Las vulnerabilidades afectan a Oracle VM VirtualBox en las versiones 7.1.12 y 7.2.2, específicamente el componente Core del software de virtualización.
Solución
Actualizar a Oracle VM VirtualBox versiones 7.1.13 o superiores para la rama 7.1.x y a 7.2.28 o superiores para la rama 7.2.x y complementariamente aplicar el parche correspondiente incluido en el Critical Patch Update (CPU) de octubre de 2025, publicado por Oracle.
Recomendaciones
Dado que la explotación requiere acceso local con altos privilegios, se recomienda priorizar la actualización inmediata y restringir los accesos administrativos al sistema que ejecuta VirtualBox; además, auditar las configuraciones de seguridad y minimizar funcionalidades innecesarias para reducir la superficie de ataque.
Referencias
-
- Fuente original – Cyber Security News: Multiple Oracle VM VirtualBox Vulnerabilities Enables Complete Takeover Of VirtualBox
- NVD – CVE-2025-62587
- MITRE – CVE-2025-62587
- NVD – CVE-2025-62588
- MITRE – CVE-2025-62588
- NVD – CVE-2025-62589
- MITRE – CVE-2025-62589
- NVD – CVE-2025-62641
- MITRE – CVE-2025-62641
- NVD – CVE-2025-62590
- MITRE – CVE-2025-62590
- NVD – CVE-2025-61760
- MITRE – CVE-2025-61760
- NVD – CVE-2025-61759
- MITRE – CVE-2025-61759
- NVD – CVE-2025-62591
- MITRE – CVE-2025-62591
- NVD – CVE-2025-62592
- MITRE – CVE-2025-62592