[TLP:CLEAR]
bollettino di sicurezza 69/2026
Aggiornamenti VMware
26-02-2026
vmware, aria operations, command injection, xss, privilege escalation
descrizione
Broadcom segnala tre vulnerabilità nei prodotti VMware Aria Operations, Cloud Foundation, Telco Cloud Platform e Infrastructure.Le CVE coinvolte sono: CVE-2026-22719 (command injection, gravità alta, CVSS fino a 8.1, possibilità di RCE durante la migrazione assistita), CVE-2026-22720 (stored cross-site scripting, gravità alta, CVSS fino a 8.0, possibile esecuzione di script con privilegi di creazione benchmark) e CVE-2026-22721 (privilege escalation, gravità moderata, CVSS fino a 6.2, ottenimento privilegi amministrativi partendo da accesso vCenter).
Per CVE-2026-22719 sono disponibili patch e workaround esplicitamente documentati nel Response Matrix; le altre vulnerabilità (CVE-2026-22720 e CVE-2026-22721) prevedono patch dedicate senza workaround noti.
note
Il bollettino non segnala zero-day o attacchi attivi; la presenza di workarounds solo per la command injection evidenzia maggiore urgenza su CVE-2026-22719. Dati i vettori di attacco e il potenziale impatto su infrastrutture mission critical, l’installazione tempestiva delle patch è prioritaria, specie per ambienti con support-assisted migration abilitata.CVE
| CVE | score | severity | CVSS |
|---|---|---|---|
| CVE-2026-22719 | 8.1 | high | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2026-22720 | 8.0 | high | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
| CVE-2026-22721 | 6.2 | medium | CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| CWE-269 | Improper Privilege Management |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| vmware | aria operations
|