Què és CVE-2026-22719
CVE-2026-22719 és una vulnerabilitat d’injecció de comandes del sistema operatiu a VMware Aria Operations, la plataforma de monitoratge i gestió d’operacions de Broadcom que abans es deia vRealize Operations. La fallada deixa que un atacant no autenticat executi comandes arbitràries al servidor. D’aquí pot arribar a l’execució remota de codi (RCE) i, amb això, al compromís total de la instància afectada.
Broadcom concreta a la seva descripció oficial quan es pot explotar: mentre hi ha en curs una migració del producte assistida per suport (“support-assisted product migration”). En aquest procés una entrada que controla l’atacant no se sanitza com hauria i acaba executant-se com a comanda al sistema subjacent.
A qui afecta
A les organitzacions que utilitzen VMware Aria Operations (Broadcom). Aria Operations sol desplegar-se en entorns de virtualització corporatius per supervisar el rendiment, la capacitat i la salut d’infraestructures vSphere. Comprometre aquesta peça dona a l’atacant una posició privilegiada dins del centre de dades.
L’avís de Broadcom (VMSA-2026-0001) aplega aquesta fallada amb dues altres vulnerabilitats corregides en la mateixa tanda, identificades com a CVE-2026-22720 i CVE-2026-22721.
Gravetat
Broadcom situa el problema en el rang de severitat “Important”, amb una puntuació màxima CVSS v3 de 8.1 (alta). Aquesta nota ve de tres factors que es juxten: vector de xarxa, absència d’autenticació i la possibilitat d’assolir execució de codi al servidor.
El que més pesa és que no és un risc teòric: la fallada s’ha fet servir en atacs reals. Broadcom va dir que tenia constància d’informes de possible explotació a la natura, encara que no en podia confirmar la validesa pel seu compte. La confirmació va arribar per CISA, que va afegir CVE-2026-22719 al seu catàleg de Vulnerabilitats Explotades Conegudes (KEV) el 3 de març de 2026 i va marcar el 24 de març de 2026 com a data límit de remediació per a les agències federals nord-americanes.
Mitigació i pedaç
Broadcom va publicar les correccions el 24 de febrer de 2026 amb l’avís VMSA-2026-0001. Això és el que recomana fer:
- Aplica el pedaç que correspongui a la teva versió, segons la columna “Fixed Version” de la matriu de resposta (Response Matrix) de l’avís oficial de Broadcom.
- Si no pots aplicar el pedaç de seguida, aplica el workaround temporal que documenta la columna “Workarounds” d’aquesta mateixa matriu.
- Tracta la migració assistida com una finestra sensible: com que la condició es dispara durant migracions assistides per suport, coordina i vigila de prop aquests processos fins que tinguis el pedaç posat.
- Restringeix l’accés de xarxa a la interfície d’Aria Operations i revisa els registres buscant comandes anòmales.
Amb una fallada que s’explota activament i que figura al catàleg KEV de CISA, el més assenyat és aplicar el pedaç amb prioritat sense esperar a la data límit oficial.