Bollettino 114/2026

[TLP:CLEAR]

bollettino di sicurezza 114/2026

Aggiornamenti VMware Cloud Foundation

11-06-2026

broadcom, vmware, vcf-operations, aria-operations, stored-xss, cwe-79

Aggiornamenti VMware Cloud Foundation

descrizione

Broadcom ha rilasciato aggiornamenti di sicurezza per VMware Cloud Foundation Operations che correggono tre vulnerabilità omogenee di tipo Stored Cross-Site Scripting (CWE-79).

Tutte e tre le CVE presentano lo stesso meccanismo: un attore con privilegi sufficienti a creare policy, view o text-widget può iniettare script persistenti nell'interfaccia, potenzialmente eseguendo azioni amministrative nel contesto di altri utenti. Il vettore CVSS è identico per le tre istanze (AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H, score 8.0).

I prodotti impattati includono VMware Cloud Foundation Operations (rami 5.x–8.18.7, 9.0.x.x fino a 9.0.2.0 EP2, 9.1.x.x fino a 9.1.0.0), VMware Aria Operations (rami 8.18.x fino a 8.18.7) e VMware Telco Cloud Platform (rami 5.x fino a 8.18.7).

note

Le tre CVE condividono vettore d'attacco, impatto e classificazione: AV:N indica sfruttabilità via rete; AC:L indica assenza di condizioni complesse; PR:L richiede un account con privilegi limitati ma autenticato; UI:R impone l'interazione di un secondo utente per attivare il payload; S:U indica che lo scope rimane confinato al componente vulnerabile. L'impatto su C, I e A è alto per tutte e tre.

Le versioni affette di CVE-2026-41722 e CVE-2026-41723 includono i rami 9.1.x.x (fino a 9.1.0.0) e 9.0.x.x (fino a 9.0.2.0 EP2), oltre ai rami condivisi con CVE-2026-41724 (5.x–8.18.7 per VCF Operations e Telco Cloud Platform, 8.18.x per Aria Operations). CVE-2026-41724 non riporta i rami 9.x tra i CPE strutturati.

Il priority_score calcolato è critical per tutte e tre le CVE, determinato dalla combinazione di CVSS 8.0 e EPSS percentile 0.228.

Non risultano a oggi CVE nel catalogo CISA KEV, exploit in the wild o proof-of-concept pubblici.

CVE

CVE CVSS EPSS priority
CVE-2026-41722 3.1: 8.0 0.076% | 22.79% critical
CVE-2026-41723 3.1: 8.0 0.076% | 22.79% critical
CVE-2026-41724 3.1: 8.0 0.076% | 22.79% critical

NOTA: Le vulnerabilità sono ordinate per priorità operativa, calcolata combinando la gravità teorica (CVSS) con la probabilità reale di sfruttamento (EPSS).

tipi di attacco

CWE descrizione
CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

prodotti impattati

vendor prodotto & versioni
VMWare vcf operations
  • Da: 9.1.x.x A: 9.1.0.0
  • Da: 9.0.x.x A: 9.0.2.0 EP2
  • Da: 5.x A: 8.18.7
vmware aria operations
  • Da: 8.18.x A: 8.18.6
  • Da: 8.18.x A: 8.18.7
vmware telco cloud platform
  • Da: 5.x A: 8.18.7

riferimenti

informazione non disponibile al momento
indietro