Vulnerabilities ›

CVE-2026-41702

High

CWE-367 — Weakness Type

                    Published: May 15, 2026                      ·  Modified: May 22, 2026                      ·  Source: NVD                

CVSS v3

7.8

🔗 NVD Official

📄 Description (English)

VMware Fusion contains a TOCTOU (Time-of-check Time-of-use) vulnerability that occurs during an operation performed by a SETUID binary. A malicious actor with local non-administrative user privileges may exploit this vulnerability to escalate privileges to root on the system where Fusion is installed.

🤖 AI Executive Summary

VMware Fusion contains a TOCTOU vulnerability in a SETUID binary that allows local non-administrative users to escalate privileges to root. This vulnerability poses a significant risk to systems running VMware Fusion where local user accounts exist.

📄 Description (Arabic)

تحتوي VMware Fusion على ثغرة تسمى TOCTOU (Time-of-check Time-of-use) في ملف ثنائي يعمل بصلاحيات SETUID. يمكن لمستخدم محلي غير إداري استغلال هذه الثغرة للحصول على صلاحيات الجذر على النظام.

🤖 ملخص تنفيذي (AI)

VMware Fusion يحتوي على ثغرة TOCTOU في ملف SETUID يسمح للمستخدمين المحليين غير الإداريين بتصعيد الامتيازات إلى مستوى الجذر. تشكل هذه الثغرة خطراً كبيراً على الأنظمة التي تقوم بتشغيل VMware Fusion حيث توجد حسابات مستخدمين محلية.

🤖 AI Intelligence Analysis Analyzed: May 20, 2026 05:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1548.001 T1548.004 T1134.003

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update VMware Fusion to the latest patched version immediately. Restrict local user access on systems running Fusion where possible. Monitor for suspicious privilege escalation attempts. Implement principle of least privilege for user accounts.

🔧 خطوات المعالجة (العربية)

قم بتحديث VMware Fusion إلى أحدث إصدار مصحح فوراً. قيد وصول المستخدمين المحليين على الأنظمة التي تقوم بتشغيل Fusion حيثما أمكن. راقب محاولات تصعيد الامتيازات المريبة. طبق مبدأ أقل امتياز للحسابات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 1

🔗

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/Se...

security@vmware.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

vmware:fusion

📊 CVSS Score

7.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.8

CWECWE-367

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-05-15

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-367

🏢 Vendor Advisories

🔗 https://support.broadcom.com/web/ecx/support-content...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41702

Introduce Yourself

Sign In Required