La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el martes una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando explotación activa en la naturaleza.
La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.
«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede conducir a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía en un aviso publicado a finales del mes pasado.
La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:
- VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
- Operaciones de VMware Aria 8.x: corregido en 8.18.6
Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz desde cada nodo de Aria Operations Virtual Appliance.
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.
«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.