Broadcomは2026年2月24日にセキュリティアドバイザリVMSA-2026-0001をリリースし、リモートコード実行、クロスサイトスクリプティング、権限昇格を可能にする可能性のあるVMware Aria Operationsの3つの重大な脆弱性に対処しました。
これらの欠陥はVMware Cloud FoundationとTelco Cloudプラットフォームなどの重要製品に影響を与え、組織にパッチをすぐに適用するよう促しています。これらの問題のCVSSスコアは6.2から8.1の範囲で、重要度は「重要」に分類されています。
最も深刻な欠陥であるCVE-2026-22719は、VMware Aria Operationsのコマンドインジェクション脆弱性で、CVSSv3ベーススコアは8.1(AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)です。
悪意のある未認証攻撃者は、サポート支援製品マイグレーション中にこれを悪用して任意のコマンドを実行し、完全なリモートコード実行につなげることができます。KB430349で利用可能な回避策がありますが、修正版へのアップグレードが推奨されています。
CVE-2026-22720は、CVSSスコア8.0(AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)の保存型クロスサイトスクリプティング(XSS)を含みます。権限のあるユーザーが管理操作用のスクリプトを注入するカスタムベンチマークを作成できます。
回避策はありません。パッチが不可欠です。CVE-2026-22721は権限昇格の問題(CVSS 6.2: AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L)で、vCenter権限を持つアクターがAria Operationsで管理者アクセスを獲得できます。パッチが必須で、回避策はありません。
これらの脆弱性は、あらゆるプラットフォーム上で実行されているVMware Aria Operations 8.x、VMware Cloud Foundation 9.x/5.x/4.x、VMware Telco Cloud Platform 5.x/4.x、およびVMware Telco Cloud Infrastructure 3.x/2.xに影響を与えます。
組織はAria Operations 8.18.6、Cloud Foundation Operations 9.0.2.0などの解決版にアップグレードするか、KB 92148、428241などの特定のKBを適用する必要があります。
翻訳元: https://cyberpress.org/multiple-vmware-aria-vulnerabilities/