Компания VMware выпустила исправления для ряда уязвимостей высокого и среднего уровня риска, затрагивающих ее продукты Aria Operations, Cloud Foundation, Telco Cloud Platform и Telco Cloud Infrastructure.
Самый серьезный из этих дефектов позволяет неаутентифицированным злоумышленникам выполнять произвольные команды в базовой операционной системе, в то время как другой дает аутентифицированным пользователям возможность повысить свои привилегии до уровня администратора.
Проблемы — CVE-2026-22719, CVE-2026-22720 и CVE-2026-22721 — были конфиденциально сообщены компании Broadcom, и на данный момент нет свидетельств их эксплуатации в реальных условиях. Однако критические уязвимости в Aria Operations эксплуатировались в прошлом, а инфраструктура корпоративной виртуализации становилась целью спонсируемых государством угроз.
Broadcom советует клиентам обновиться до Aria Operations 8.18.6, а также до версий 5.2.3 или 9.0.2 VMware Cloud Foundation (VCF). VMware Telco Cloud Platform и Telco Cloud Infrastructure также затронуты, поскольку они включают Aria Operations — компонент ИТ-управления для частных и мультиоблачных сред.
Внедрение команд и повышение привилегий
Несмотря на то что CVE-2026-22719 является дефектом внедрения команд без аутентификации, который может привести к удаленному выполнению кода, уязвимость оценена как высокая, а не критическая, поскольку эксплуатировать ее можно только во время миграции продукта при поддержке службы поддержки, что снижает вероятность массовой эксплуатации.
Для сравнения: в 2023 году после раскрытия дефекта внедрения команд в Aria Operations for Networks службы безопасности зафиксировали почти 700 000 попыток атак.
Вторая уязвимость, CVE-2026-22720, описывается как проблема хранимого межсайтового скриптинга (XSS), также имеющая высокую степень серьезности с оценкой 8.0 по шкале CVSS. Этот дефект позволяет злоумышленникам с привилегиями создавать пользовательские эталоны (benchmarks) в развертывании для внедрения постоянного скрипта, который будет выполнять административные действия.
Третий дефект — это проблема умеренной серьезности с оценкой 6.2, которую можно использовать, если злоумышленники получат привилегии в vCenter, позволяющие им получить доступ к Aria Operations. vCenter — это платформа управления для виртуальных сред vSphere, и эта уязвимость считается проблемой повышения привилегий, поскольку она может привести к получению административных прав в Aria.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
