VMware ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad de severidad alta. Un actor malicioso remoto podría explotarla para la omisión de autenticación.
Productos afectados
VMware
- Aria Automation, versiones anteriores al parche 2 de la versión 8.18.1
- Cloud Foundation, versiones 4.x y 5.x
- Plataforma Telco Cloud, versión 5.x
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-22249: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS) basada en DOM. Un actor malicioso podría aprovechar este problema para robar el token de acceso de un usuario que haya iniciado sesión en el dispositivo de automatización VMware Aria, engañando al usuario para que haga clic en una URL de carga útil creada con fines maliciosos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25711