[TLP:CLEAR] VMware opravuje 3 zraniteľnosti vo svojích produktoch
VMware opravuje 3 zraniteľnosti vo svojich produktoch, ktoré obsahujú komponent VMware Aria Operations [1]. V prípade VMware Telco Cloud Platform a VMware Telco Cloud Infrastructure postupujte podľa KB428241 [2]. Produkty a ich opravené verzie [1]: VMware Cloud Foundation - 9.0.2.0, 5.2.3, VMware vSphere Foundation - 9.0.2.0, VMware Aria Operations - 8.18.6.
Neautentizovanému vzdialenému útočníkovi je v prostredí VMware Aria Operations v dôsledku nedostatočného ošetrenia vstupov umožnené spustiť kód. Táto zraniteľnosť je zneužiteľná výhradne počas aktívneho procesu migrácie produktu v režime s asistenciou technickej podpory [1].
Zraniteľnosť sa nachádza v produktoch:
- VMware Aria Operations vo verziách >=8.0 AND <8.18.6
- VMware Cloud Foundation vo verziách >=9.0 AND <9.0.2.0
- VMware Cloud Foundation vo verziách >=4.0 AND <5.2.3
- VMware vSphere Foundation vo verziách >=8.0 AND <8.18.6
- VMware Telco Cloud Platform
- VMware Telco Cloud Infrastructure
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-22719 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 2. 2026.
Autentizovanému vzdialenému útočníkovi s oprávnením vytvárať vlastné benchmarky je umožnené vykonať uložený XSS útok, čo môže viesť k vykonaniu administrátorských akcií v kontexte obete [1].
Zraniteľnosť sa nachádza v produktoch:
- VMware Aria Operations vo verziách >=8.0 AND <8.18.6
- VMware Cloud Foundation vo verziách >=9.0 AND <9.0.2.0
- VMware Cloud Foundation vo verziách >=4.0 AND <5.2.3
- VMware vSphere Foundation vo verziách >=8.0 AND <8.18.6
- VMware Telco Cloud Platform
- VMware Telco Cloud Infrastructure
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2026-22720 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 2. 2026.
Autentizovanému vzdialenému útočníkovi s oprávneniami v platforme vCenter poskytujúcimi prístup k VMware Aria Operations je umožnené eskalovať oprávnenia až na úroveň administrátora [1].
Zraniteľnosť sa nachádza v produktoch:
- VMware Aria Operations vo verziách >=8.0 AND <8.18.6
- VMware Cloud Foundation vo verziách >=9.0 AND <9.0.2.0
- VMware Cloud Foundation vo verziách >=4.0 AND <5.2.3
- VMware vSphere Foundation vo verziách >=8.0 AND <8.18.6
- VMware Telco Cloud Platform
- VMware Telco Cloud Infrastructure
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L
Viac informácií:
- CVE-2026-22721 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 24. 2. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 4. 3. 2026.
