在Pwn2Own Berlin 2025的第二天，參賽者利用了微軟SharePoint、VMware ESXi、Oracle VirtualBox、紅帽企業Linux和Mozilla Firefox等多個產品中的零日漏洞，獲得了43.5萬美元的獎金。

最引人注目的是來自STARLabs SG的Nguyen Hoang Thach對VMware ESXi的成功攻擊，他利用整數溢出漏洞獲得了15萬美元。

越南電信網絡安全公司（Viettel Cyber Security）的Dinh Ho Anh Khoa獲得了10萬美元的獎金，原因是他利用一個結合了認證繞過和不安全反序列化漏洞的漏洞鏈攻擊微軟SharePoint。

Palo Alto Networks的Edouard Bochin和Tao Yan也演示了Mozilla Firefox中的越權寫入零日漏洞，STAR Labs SG的Gerrard Tai使用use-after-free漏洞將紅帽企業Linux的權限升級為root， Viettel Cyber Security使用了另一個越權寫入Oracle VirtualBox的guest-to-host漏洞。

在人工智能領域，Wiz Research的安全研究人員用免費使用的零日漏洞，利用Redis和Qrious Secure鏈接的四個安全漏洞，攻擊了英偉達的Triton推理服務器。

在第一天，參賽者在成功利用Windows 11、Red Hat Linux和Oracle VirtualBox的零日漏洞后，獲得了26萬美元的獎金，在比賽的前兩天，他們展示了20個獨特的零日漏洞，總共獲得了69.5萬美元的獎金。

Pwn2Own柏林第二天的排名

Pwn2Own Berlin 2025黑客大賽將重點關注企業技術，首次引入人工智能類別，并于5月15日至5月17日在OffensiveCon會議期間舉行。

安全研究人員在AI、web瀏覽器、虛擬化、本地特權升級、服務器、企業應用程序、云原生/容器和汽車類別的完全修補產品中展示零日漏洞，將能夠獲得超過100萬美元的獎勵。

然而，在Pwn2Own啟動之前，沒有特斯拉的注冊，但兩輛2025年的特斯拉Y型和2024年的特斯拉3型臺式汽車也可以作為目標。

在比賽的最后一天，黑客們將嘗試利用Windows 11、Oracle VirtualBox、VMware ESXi、VMware Workstation、Mozilla Firefox以及Nvidia的Triton Inference Server和Container Toolkit中的零日漏洞。

在Pwn2Own競賽期間披露了零日漏洞后，供應商有90天的時間發布其軟件和硬件產品的安全修復程序。

參考及來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-vmware-esxi-microsoft-sharepoint-zero-days-at-pwn2own/