VMware - CVE-2026-22719
Date de publication :
VMware Aria Operations est une solution de supervision et d’analyse des environnements virtualisés et cloud utilisée pour la gestion des performances, de la capacité et de la conformité des infrastructures VMware.
Une vulnérabilité d’injection de commande dans VMware Aria Operations. Elle permet à un attaquant non authentifié d’exécuter des commandes arbitraires pouvant conduire à une exécution de code à distance durant une migration assistée du produit.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• VMware Aria Operations versions 8.x antérieures à 8.18.6
• VMware Cloud Foundation Operations versions 9.x.x.x antérieures à 9.0.2.0
• VMware Cloud Foundation versions 5.x et 4.x
• VMware Telco Cloud Platform versions 5.x et 4.x
• VMware Telco Cloud Infrastructure versions 3.x et 2.x
Contournement provisoire
Solutions ou recommandations
• VMware Cloud Foundation Operations versions 9.0.2.0 et supérieures