Broadcom(ブロードコム)は2026年2月24日、VMware Aria Operationsに関するセキュリティアドバイザリVMSA-2026-0001を公開し、3件の脆弱性(CVE-2026-22719 / CVE-2026-22720 / CVE-2026-22721)を修正するアップデートを案内しました。深刻度はImportant(全体としてHIGH扱い)で、CVSS v3のベーススコアは6.2〜8.1です。
影響はAria Operations単体に限らず、VMware Cloud Foundation(VCF)やTelco Cloud系の製品群にも及びます。
概要
今回のポイントは、運用上よく発生する移行・アップグレードのタイミングが攻撃機会になり得る点です。外部記事では、移行作業中に未認証でコマンドを実行され、結果としてRCEに至る可能性があることが強調されています。
脆弱性は次の3つです。
-
CVE-2026-22719:コマンドインジェクション。サポート支援による製品移行の進行中に、未認証の攻撃者が任意コマンドを実行し、RCEにつながる可能性があります(CVSS 8.1)。
-
CVE-2026-22720:格納型XSS。カスタムベンチマークを作成できる権限を持つ攻撃者がスクリプトを注入し、管理操作につなげる可能性があります(CVSS 8.0)。
-
CVE-2026-22721:権限昇格。vCenter側でAria Operationsにアクセスできる権限を持つ攻撃者が、Aria Operations上の管理者権限を得る可能性があります(CVSS 6.2)。
影響範囲
Broadcomのアドバイザリでは、影響製品としてVMware Aria Operations、VMware Cloud Foundation、VMware Telco Cloud Platform、VMware Telco Cloud Infrastructureを挙げています。
修正版は代表例として以下が示されています。
-
VMware Aria Operations 8.x:8.18.6で修正
-
VMware Cloud Foundation Operations 9.x:9.0.2.0で修正
そのほか、VCFの4.x/5.x系やTelco Cloud系は、該当KBの適用が案内されています(アドバイザリのResponse Matrix参照)。
原因
公式情報の整理では、CVE-2026-22719はコマンドインジェクション、CVE-2026-22720は格納型XSS、CVE-2026-22721は権限昇格です。特にCVE-2026-22719は、サポート支援による移行プロセスが進行している間という特定の運用状態で悪用され得る点が特徴です。
関連記事
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
Broadcom(VMware)で複数の脆弱性(CVE-2025-41244,41245,41246)
北朝鮮のハッカー集団 Lazarus(ラザルス)とは?攻撃手法や日本での被害実例
サイバー攻撃とは? 種類・目的・企業への影響と対策を2026年最新データで解説
VMwareがローカル権限昇格の脆弱性を修正 (CVE-2025-22231)
VMware Aria AutomationのSQLインジェクションの脆弱性を修正(CVE-2024-22280)
VMware vCenter Serverの1年前の脆弱性(CVE-2024-37079)がKEVに追加
VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)
100万超ダウンロードされている、React Ariaのnpmにマルウェアが組み込まれている-サプライチェーン攻撃か
