A agência norte-americana de segurança cibernética Cybersecurity and Infrastructure Security Agency (CISA) incluiu nesta terça-feira uma vulnerabilidade recentemente divulgada que afeta o Broadcom VMware Aria Operations em seu catálogo Known Exploited Vulnerabilities (KEV), destacando a existência de exploração ativa dessa falha.
Trata-se da vulnerabilidade de alta gravidade
CVE-2026-22719
, com pontuação CVSS 8,1, classificada como command injection.
Essa falha permite que um atacante não autenticado execute comandos arbitrários no sistema.
Segundo a Broadcom, “um agente malicioso não autenticado pode explorar essa vulnerabilidade para executar comandos arbitrários, o que pode resultar em execução remota de código no VMware Aria Operations durante o processo de migração assistida pelo suporte”.
O problema foi corrigido junto a outras duas vulnerabilidades:
CVE-2026-22720
, uma falha de stored cross-site scripting, e
CVE-2026-22721
, uma elevação de privilégio que pode conceder acesso administrativo.
As atualizações atendem às seguintes versões dos produtos:
- VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x – correção disponível na versão 9.0.2.0
- VMware Aria Operations 8.x – correção disponível na versão 8.18.6
Para clientes que ainda não puderem aplicar o patch, a Broadcom disponibilizou um script shell chamado “aria-ops-rce-workaround.sh”, que deve ser executado como root em cada node do Aria Operations Virtual Appliance para minimizar riscos.
Até o momento, não há informações detalhadas sobre os métodos de exploração em campo, os responsáveis pelos ataques ou o alcance das ações maliciosas.
A Broadcom ressalta: “Estamos cientes de relatos sobre possível exploração da
CVE-2026-22719
em ambientes reais, mas não conseguimos confirmar a veracidade dessas informações”.
Diante da exploração ativa, agências do Federal Civilian Executive Branch (FCEB) dos EUA têm até 24 de março de 2026 para aplicar as correções recomendadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...