A agência norte-americana de segurança cibernética Cybersecurity and Infrastructure Security Agency (CISA) incluiu nesta terça-feira uma vulnerabilidade recentemente divulgada que afeta o Broadcom VMware Aria Operations em seu catálogo Known Exploited Vulnerabilities (KEV), destacando a existência de exploração ativa dessa falha.
Trata-se da vulnerabilidade de alta gravidade
CVE-2026-22719
, com pontuação CVSS 8,1, classificada como command injection.
Essa falha permite que um atacante não autenticado execute comandos arbitrários no sistema.
Segundo a Broadcom, “um agente malicioso não autenticado pode explorar essa vulnerabilidade para executar comandos arbitrários, o que pode resultar em execução remota de código no VMware Aria Operations durante o processo de migração assistida pelo suporte”.
O problema foi corrigido junto a outras duas vulnerabilidades:
CVE-2026-22720
, uma falha de stored cross-site scripting, e
CVE-2026-22721
, uma elevação de privilégio que pode conceder acesso administrativo.
As atualizações atendem às seguintes versões dos produtos:
- VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x – correção disponível na versão 9.0.2.0
- VMware Aria Operations 8.x – correção disponível na versão 8.18.6
Para clientes que ainda não puderem aplicar o patch, a Broadcom disponibilizou um script shell chamado “aria-ops-rce-workaround.sh”, que deve ser executado como root em cada node do Aria Operations Virtual Appliance para minimizar riscos.
Até o momento, não há informações detalhadas sobre os métodos de exploração em campo, os responsáveis pelos ataques ou o alcance das ações maliciosas.
A Broadcom ressalta: “Estamos cientes de relatos sobre possível exploração da
CVE-2026-22719
em ambientes reais, mas não conseguimos confirmar a veracidade dessas informações”.
Diante da exploração ativa, agências do Federal Civilian Executive Branch (FCEB) dos EUA têm até 24 de março de 2026 para aplicar as correções recomendadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...