Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Ba đã thêm một lỗ hổng bảo mật được tiết lộ gần đây ảnh hưởng đến Broadcom VMware Aria Operations vào danh mục Known Exploited Vulnerabilities (KEV) của mình, với lý do đang bị khai thác tích cực trong thực tế.
Lỗ hổng nghiêm trọng cao, CVE-2026-22719 (điểm CVSS: 8.1), được mô tả là một trường hợp command injection có thể cho phép kẻ tấn công chưa xác thực thực thi các lệnh tùy ý.
"Một tác nhân độc hại chưa được xác thực có thể exploit vấn đề này để thực thi các lệnh tùy ý, điều này có thể dẫn đến remote code execution trong VMware Aria Operations khi quá trình di chuyển sản phẩm có sự hỗ trợ đang diễn ra," công ty cho biết trong một bản tư vấn được phát hành vào cuối tháng trước.
Lỗ hổng này đã được khắc phục, cùng với CVE-2026-22720, một lỗ hổng stored cross-site scripting, và CVE-2026-22721, một lỗ hổng privilege escalation có thể dẫn đến quyền truy cập quản trị. Nó ảnh hưởng đến các sản phẩm sau:
- VMware Cloud Foundation và VMware vSphere Foundation 9.x.x.x - Đã được khắc phục trong 9.0.2.0
- VMware Aria Operations 8.x - Đã được khắc phục trong 8.18.6
Khách hàng không thể áp dụng bản vá ngay lập tức có thể tải xuống và chạy một shell script ("aria-ops-rce-workaround.sh") với quyền root từ mỗi node Aria Operations Virtual Appliance.
Hiện tại vẫn chưa có thông tin chi tiết về cách lỗ hổng đang bị exploit trong thực tế, ai đứng đằng sau và quy mô của những nỗ lực đó.
"Broadcom nhận thức được các báo cáo về khả năng exploit CVE-2026-22719 trong thực tế, nhưng chúng tôi không thể độc lập xác nhận tính hợp lệ của chúng," công ty lưu ý trong một bản cập nhật cho bản tin của mình.
Trước tình hình bị exploit tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được yêu cầu áp dụng các bản sửa lỗi trước ngày 24 tháng 3 năm 2026.
