Se han descubierto vulnerabilidades de severidad alta en productos VMware Aria Operations. Un actor malicioso podría ejecutar comandos arbitrarios para lograr la ejecución remota de código o realizar acciones administrativas no autorizadas en los sistemas afectados.
Productos afectados
- VMware Cloud Foundation Operations, versiones 9.x anteriores a 9.0.2.0.
- VMware Aria Operations, versiones 8.x anteriores a 8.18.6.
- VMware Cloud Foundation (Aria Operations), versiones 5.x y 4.x.
- VMware Telco Cloud Platform y Telco Cloud Infrastructure (Aria Operations).
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-22719: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos. Un actor malicioso remoto no autenticado podría ejecutar comandos arbitrarios, lo que permitiría la ejecución remota de código mientras el proceso de migración de producto asistida por soporte se encuentra en ejecución.
CVE-2026-22720: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de secuencias de comandos entre sitios almacenada. Un actor malicioso autenticado con privilegios para crear benchmarks personalizados podría inyectar scripts maliciosos para realizar acciones administrativas no autorizadas dentro de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias