A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou uma nova vulnerabilidade que afeta o VMware Aria Operations, da Broadcom, ao seu catálogo de Known Exploited Vulnerabilities (KEV), indicando que a falha já está sendo explorada por hackers em ataques reais.

A vulnerabilidade identificada como CVE-2026-22719, classificada com pontuação CVSS 8.1, é uma falha de injeção de comandos que pode permitir que um invasor execute comandos arbitrários remotamente sem necessidade de autenticação.

De acordo com o comunicado da Broadcom, um invasor não autenticado pode explorar a falha para executar comandos no sistema, o que pode resultar em execução remota de código (RCE) em ambientes que utilizam o VMware Aria Operations, especialmente durante processos de migração assistida do produto.

Falha faz parte de conjunto de vulnerabilidades corrigidas

A vulnerabilidade foi corrigida no final do mês passado junto com outras duas falhas de segurança:

• CVE-2026-22720 — vulnerabilidade de cross-site scripting (XSS) armazenado

• CVE-2026-22721 — falha de escalonamento de privilégios, que pode conceder acesso administrativo

• 
  

Essas vulnerabilidades afetam os seguintes produtos da VMware:

• VMware Cloud Foundation e VMware vSphere Foundation 9.x — corrigido na versão 9.0.2.0

• VMware Aria Operations 8.x — corrigido na versão 8.18.6

Exploração ativa preocupa especialistas

A inclusão da falha no catálogo KEV indica que existem evidências de exploração ativa da vulnerabilidade. Esse catálogo é utilizado pela CISA para alertar organizações sobre falhas que já estão sendo utilizadas em ataques no mundo real.

Apesar disso, ainda não há detalhes públicos sobre:

• quais grupos hackers estão explorando a falha

• quais organizações já foram afetadas

• qual a escala dos ataques observados

A própria Broadcom afirmou que recebeu relatos sobre possível exploração da vulnerabilidade, mas ainda não conseguiu confirmar independentemente essas atividades.

Prazo para correção em órgãos federais

Devido ao risco representado pela falha, a CISA determinou que agências federais dos Estados Unidos devem aplicar as correções de segurança até 24 de março de 2026.

Para organizações que não conseguem aplicar o patch imediatamente, a VMware disponibilizou uma solução temporária. Administradores podem executar um script chamado aria-ops-rce-workaround.sh com privilégios de root em cada nó do appliance virtual do Aria Operations para mitigar temporariamente o problema.

Especialistas recomendam que empresas que utilizam soluções VMware apliquem as atualizações o mais rápido possível, pois vulnerabilidades com exploração ativa costumam ser rapidamente incorporadas em ferramentas automatizadas de ataque.