- Advisory ID: VMSA-2026-0002
- CVSSv3 Range: 2.7 – 6.1
- Issue Date: 26 Şubat 2026
- Updated On: 26 Şubat 2026
- CVE-2026-22715, CVE-2026-22716, CVE-2026-22717, CVE-2026-22722
- VMware Workstation ve Fusion’da tespit edilen 4 farklı güvenlik açığı için VMSA-2026-0002 bülteni yayınlandı. NULL Pointer, NAT, Out-of-bounds güvenlik zafiyetleri ve çözüm detayları.
VMSA-2026-0002’de Etkilenen Ürünler
- VMware Workstation
- VMware Fusion
Broadcom tarafından 26 Şubat 2026 tarihinde yayınlanan VMSA-2026-0002 güvenlik bülteninde, VMware Workstation ve Fusion ürünlerinde toplam 4 farklı güvenlik açığı duyuruldu. Bu açıklar, NULL pointer dereference, NAT mantık hatası ve out-of-bounds okuma/yazma zafiyetlerini içermektedir.
1. NULL Pointer Dereference Zafiyeti (CVE-2026-22722)
Açıklama: Windows tabanlı Workstation host üzerinde kimlik doğrulaması yapmış kötü niyetli bir aktör, NULL pointer dereference hatası oluşturabilir.
Önem Derecesi: Orta (CVSSv3: 6.1)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
2. NAT Mantık Hatası (CVE-2026-22715)
Açıklama: Guest VM üzerinde yönetici haklarına sahip kötü niyetli bir aktör, diğer guest VM’lerin ağ bağlantılarını kesintiye uğratabilir veya müdahale edebilir.
Önem Derecesi: Orta (CVSSv3: 5.9)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
3. Out-of-Bounds Write Zafiyeti (CVE-2026-22716)
Açıklama: Guest VM üzerinde yönetici olmayan ayrıcalıklara sahip kötü niyetli bir aktör, out-of-bounds write tetikleyerek Workstation’ın kurulu olduğu makinede bazı işlemlerin çökmesine neden olabilir.
Önem Derecesi: Orta (CVSSv3: 5.0)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
4. Out-of-Bounds Read Zafiyeti (CVE-2026-22717)
Açıklama: Guest VM üzerinde yönetici olmayan ayrıcalıklara sahip kötü niyetli bir aktör, out-of-bounds read tetikleyerek Workstation’ın kurulu olduğu makinede sınırlı bilgi sızıntısına yol açabilir.
Önem Derecesi: Düşük (CVSSv3: 2.7)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
Response Matrix:
| Product | Version | Running On | CVE | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
| VMware Workstation | 17.x, 25H2 | Any | CVE-2026-22715, CVE-2026-22716, CVE-2026-22717 | 5.9, 5.0, 2.7 | Moderate | 25H2u1 | None | None |
| VMware Workstation | 17.x, 25H2 | Windows | CVE-2026-22722 | 6.1 | Moderate | 25H2u1 | None | None |
| VMware Fusion | 13.x, 25H2 | MacOS | CVE-2026-22715 | 5.9 | Moderate | 25H2u1 | None | None |
Bu güvenlik açıkları özellikle paylaşımlı Workstation/Fusion ortamlarında ciddi riskler oluşturabilir. Güncellemeleri mümkün olan en kısa sürede uygulayın.
Referanslar:
VMware Workstation 25H2u1
Downloads ve dokümanlar:
https://support.broadcom.com/group/ecx/productfiles?subFamily=VMware%20Workstation%20Pro&displayGroup=VMware%20Workstation%20Pro%2025H2%20for%20Windows&release=25H2u1&os=&servicePk=540566&language=EN&freeDownloads=true
https://support.broadcom.com/group/ecx/productfiles?subFamily=VMware%20Workstation%20Pro&displayGroup=VMware%20Workstation%20Pro%2025H2%20for%20Linux&release=25H2u1&os=&servicePk=540565&language=EN&freeDownloads=true
https://techdocs.broadcom.com/us/en/vmware-cis/desktop-hypervisors/workstation-pro/25H2/release-notes/vmware-workstation-pro-25h2u1-release-notes.html
VMware Fusion 25H2u1
Downloads ve dokümanlar:
https://support.broadcom.com/group/ecx/productfiles?subFamily=VMware%20Fusion&displayGroup=VMware%20Fusion%2025H2&release=25H2u1&os=&servicePk=540563&language=EN&freeDownloads=true
https://techdocs.broadcom.com/us/en/vmware-cis/desktop-hypervisors/fusion-pro/25H2/release-notes/vmware-fusion-25h2u1-release-notes.html
Mitre CVE Dictionary Links:
https://www.cve.org/CVERecord?id=CVE-2026-22715
https://www.cve.org/CVERecord?id=CVE-2026-22716
https://www.cve.org/CVERecord?id=CVE-2026-22717
https://www.cve.org/CVERecord?id=CVE-2026-22722
Son yazılar için;
VMware vSphere 8.0 Update 3i Yayınlandı: ESXi ve vCenter Release Notes Detaylı İnceleme
VMSA-2026-0001: VMware Aria Operations Çoklu Güvenlik Açıkları
ESXTOP Kullanım Rehberi: VMware Performans İzleme ve Analiz
Anthropic Academy Nedir? Ücretsiz Claude AI Eğitimleri ve Sertifika Programları
Claude Code’un Yaratıcısından: Profesyonel Kullanım Rehberi
