Broadcom ha publicado actualizaciones de seguridad para parchear cinco defectos de seguridad que afectan las operaciones de VMware Aria y las operaciones de ARIA para registros, advirtiendo a los clientes que los atacantes podrían explotarlos para obtener acceso elevado u obtener información confidencial.
La lista de defectos identificados, que impactan las versiones 8.x del software, está a continuación –
- CVE-2025-22218 (Puntuación CVSS: 8.5) – Un actor malicioso con vistas solo los permisos de administración pueden leer las credenciales de un producto VMware integrado con operaciones de ARIA VMware para registros
- CVE-2025-22219 (Puntuación CVSS: 6.8)-Un actor malicioso con privilegios no administrativos puede inyectar un script malicioso que puede conducir a operaciones arbitrarias como usuario administrador a través de un ataque de secuencias de comandos de sitios cruzados (XSS) almacenados
- CVE-2025-22220 (Puntuación CVSS: 4.3) – Un actor malicioso con privilegios no administrativos y acceso a la red a las operaciones de ARIA para la API de registros puede realizar ciertas operaciones en el contexto de un usuario administrador
- CVE-2025-22221 (Puntuación CVSS: 5.2) – Un actor malicioso con privilegios de administración a las operaciones de vMware Aria para registros puede inyectar un script malicioso que podría ejecutarse en el navegador de una víctima al realizar una acción de eliminación en la configuración del agente
- CVE-2025-22222 (Puntuación CVSS: 7.7) – Un usuario malicioso con privilegios no administrativos puede explotar esta vulnerabilidad para recuperar las credenciales para un complemento de salida si se sabe una ID de credencial de servicio válida
Los investigadores de seguridad Maxime Maximbiac de Michelin Cert, y Yassine Bengana y Quentin Ebel de Abicom y parte del equipo de Michelin Cert para detectar e informar los defectos. Vale la pena señalar que el mismo equipo vio otras dos deficiencias en el mismo producto (CVE-2024-38832 y CVE-2024-38833) a fines de noviembre de 2024.
Todas las vulnerabilidades antes mencionadas se han parcheado en las operaciones de VMware Aria y las operaciones ARIA para los registros de la versión 8.18.3. El proveedor de servicios de virtualización no menciona que estos problemas se explotan en la naturaleza.
El aviso se produce días después de que Broadcom advirtió sobre una falla de seguridad de alta severidad en VMware AVI Load Balancer (CVE-2025-22217, puntaje CVSS: 8.6) que podrían ser armados por actores maliciosos para obtener acceso a la base de datos.