仮想化ベンダーが他の2つの脆弱性も修正し、Cloud Foundation、Telco Cloud Platform、Telco Cloud Infrastructureにも影響を与えています。
Broadcomは顧客にAria Operations 8.18.6、およびVMware Cloud Foundation (VCF)のバージョン5.2.3または9.0.2へのアップグレードを推奨しています。VMware Telco Cloud PlatformおよびTelco Cloud Infrastructureはプライベートおよびマルチクラウド環境のITマネジメントコンポーネントであるAria Operationsを含むため、影響を受けます。
コマンドインジェクションと権限昇格
CVE-2026-22719は認証されていないコマンドインジェクション脆弱性であり、リモートコード実行につながる可能性がありますが、サポート支援製品移行が進行中の場合にのみ悪用できるため、脆弱性は重大度ではなく高レベルと評価されており、広範な悪用の可能性は低くなっています。
比較として、2023年にAria Operations for Networksのコマンドインジェクション脆弱性が公開された後、セキュリティ企業はほぼ700,000件の攻撃試行を検出しました。
2番目の脆弱性であるCVE-2026-22720は、蓄積型クロスサイトスクリプティング(XSS)の問題として説明されており、CVSSスケールで8.0のスコアで高い深刻度として評価されています。この脆弱性により、デプロイメント上でカスタムベンチマークを作成する特権を持つ攻撃者が、管理操作を実行する永続的なスクリプトを注入することができます。
3番目の脆弱性は6.2のスコアで中程度の深刻度の問題であり、攻撃者がAria OperationsにアクセスできるvCenterの特権を取得した場合に悪用される可能性があります。vCenterはvSphere仮想環境の管理プラットフォームであり、この脆弱性はAriaの管理特権につながる可能性があるため、権限昇格の問題と見なされています。
