Broadcom corrige une faille d'injection de commandes dans VMware Aria Operations

Broadcom a publié le 24 février 2026 des correctifs pour une vulnérabilité d'injection de commandes non authentifiée dans VMware Aria Operations, la plateforme de gestion informatique pour environnements privés et multicloud. Cette faille, identifiée sous CVE-2026-22719 et classée de gravité élevée, pourrait permettre une exécution de code à distance, mais uniquement pendant une migration de produit assistée par le support. Elle affecte aussi VMware Cloud Foundation, VMware Telco Cloud Platform et VMware Telco Cloud Infrastructure, qui intègrent Aria Operations. CVE-2026-22720, une injection de script croisé stockée également de gravité élevée avec un score CVSS de 8,0, permet à des attaquants privilégiés d'injecter des scripts persistants pour des actions administratives. La troisième vulnérabilité, CVE-2026-22721 de gravité modérée (score CVSS 6,2), concerne une escalade de privilèges accessible via vCenter, la plateforme de gestion pour environnements virtuels vSphere. Les clients doivent passer à Aria Operations 8.18.6, ou aux versions 5.2.3 ou 9.0.2 de VMware Cloud Foundation. En 2023, une faille similaire dans Aria Operations for Networks avait entraîné près de 700 000 tentatives d'attaque détectées. L'avis de sécurité VMSA-2026-0001 qualifie l'ensemble d'« important » avec des scores CVSS entre 6,2 et 8,1. Broadcom recommande des mises à jour immédiates pour atténuer les risques dans ces outils essentiels à la gestion hybride.