Vulnerabilidades críticas en VMware Aria Operations 2026
Vulnerabilidad crítica - 04/03
Introducción
CVE-2026-22719 es una vulnerabilidad de inyección de comandos presente en el componente VMware Aria Operations, una plataforma de gestión y operaciones en la nube. El fallo reside en cómo se procesan entradas externas durante el proceso de migración asistida por soporte, ya que las entradas no validadas pueden ser usadas para inyectar comandos arbitrarios en el sistema subyacente. Este tipo de falla se clasifica como CWE-77 (Improper Neutralization of Special Elements used in a Command), que ocurre cuando un programa inserta datos externos en un comando del sistema sin filtrarlos o neutralizarlos correctamente. CVE-2026-22719 ha sido explotada en entornos reales.
Análisis
CVE-2026-22719 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H- 8,1
CVE-2026-22719 aparece en el proceso de migración asistida por soporte, una funcionalidad pensada para facilitar la transición o actualización de entornos gestionados. Durante ese proceso, el sistema recibe ciertos parámetros desde la red y los utiliza para ejecutar comandos en el sistema operativo subyacente. El fallo está en que esos parámetros no se validan ni se filtran correctamente antes de ser incorporados en un comando del sistema. En otras palabras, el software construye instrucciones que el sistema operativo ejecutará, pero incluye dentro de ellas datos que pueden haber sido manipulados por un atacante.
Cuando un servicio genera un comando de sistema utilizando texto recibido externamente sin comprobarlo adecuadamente, se abre la puerta a lo que se conoce como inyección de comandos. Esto significa que un atacante puede introducir caracteres especiales que el intérprete de comandos entiende como órdenes adicionales. En lugar de ejecutarse únicamente la operación prevista por el sistema, se ejecutan también las instrucciones maliciosas añadidas por el atacante.
En el caso de CVE-2026-22719, esta debilidad puede explotarse de forma remota a través de la red y, según los informes públicos, sin necesidad de autenticación previa. Si el servicio vulnerable se está ejecutando con privilegios elevados , el atacante podría llegar a ejecutar comandos con altos niveles de privilegio. Esto podría permitirle acceder al sistema, modificar configuraciones, extraer información sensible o utilizar el servidor comprometido como punto de apoyo para moverse lateralmente dentro de la infraestructura.
Versiones afectadas
- VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
- VMware Aria Operations 8.x: corregido en 8.18.6
Recomendaciones
- Aplicar el parche
- Descargar y ejecutar un script de shell ("aria-ops-rce-workaround.sh") como root desde cada nodo de Aria Operations Virtual Appliance
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
- https://www.cisa.gov/news-events/alerts/2026/03/03/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://www.bleepingcomputer.com/news/security/cisa-flags-vmware-aria-operations-rce-flaw-as-exploited-in-attacks/
- https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html