La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) incorporó esta semana una vulnerabilidad crítica de VMware a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), lo que implica que hay evidencia de que está siendo aprovechado por atacantes en el mundo real.

La vulnerabilidad, identificada como CVE-2026-22719, tiene una puntuación de severidad CVSS de 8.1 (alta) y es del tipo command injection —inyección de comandos—. En términos prácticos, esto significa que un atacante externo, sin necesitar usuario ni contraseña, puede ejecutar instrucciones directamente en el servidor afectado.

Según el aviso oficial, el fallo se activa durante procesos de migración asistida del producto, lo que vuelve especialmente vulnerables a los entornos que estén atravesando ese procedimiento.

VMware Aria Operations es una plataforma utilizada por empresas y organismos para monitorear y gestionar infraestructuras tecnológicas complejas, incluyendo entornos de nube híbrida. Un acceso no autorizado a este nivel puede abrir la puerta a alteración de configuraciones, despliegue de malware o movimiento lateral dentro de la red.

El parche publicado por Broadcom no solo corrige CVE-2026-22719. El mismo advisory resuelve otras dos vulnerabilidades en el mismo producto:

  • CVE-2026-22720: cross-site scripting almacenado (XSS).
  • CVE-2026-22721: escalada de privilegios que podría derivar en acceso administrativo completo.

Los tres fallos fueron corregidos de forma conjunta, lo que hace más urgente la actualización.

Versiones afectadas y corregidas

ProductoVersiones afectadasVersión corregida
VMware Cloud Foundation / vSphere Foundation9.x9.0.2.0
VMware Aria Operations8.x8.18.6

Recomendaciones

Hay tres acciones concretas según las recomendaciones oficiales de CISA y Broadcom:

  • Actualizar a la versión corregida. Es la acción prioritaria. Los parches están disponibles para todas las ramas afectadas.
  • Si no es posible parchear de inmediato, aplicar la mitigación temporal oficial. Broadcom publicó un script de shell (aria-ops-rce-workaround.sh) que debe ejecutarse como root en cada nodo del appliance virtual de Aria Operations. El script está disponible en el portal de soporte de Broadcom.
  • Activar monitoreo activo. Mientras se gestiona la actualización, conviene revisar eventos inusuales en los servidores que corren el producto, especialmente si hay procesos de migración en curso o planificados.

La inclusión en el catálogo KEV suele anticipar intentos de explotación más amplios, por lo que la ventana de exposición podría reducirse en los próximos días.

Fuente

https://knowledge.broadcom.com/external/article/430349

https://www.cve.org/CVERecord?id=CVE-2026-22719

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947

https://www.cisa.gov/news-events/alerts/2026/03/03/cisa-adds-two-known-exploited-vulnerabilities-catalog