更新時間:2026/03/05 14:55:56
發佈時間:2026/03/05 14:55:56
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Broadcom近期發布安全公告,指出其VMware Aria Operations存在多項資安漏洞,針對其中兩項高風險漏洞進行說明:
1. CVE-2026-22719:命令注入漏洞
該漏洞源於系統於支援輔助產品遷移(support-assisted product migration)過程中,未對輸入內容中的特殊元素進行適當處理,使未經身分驗證的攻擊者得以於 VMware Aria Operations 系統中執行任意命令。
2. CVE-2026-22720:儲存型跨網站指令碼漏洞
該漏洞源於應用程式未對使用者於建立自訂基準(custom benchmarks)時提供的輸入內容進行適當處理,使攻擊者得以注入惡意指令碼,進而於 VMware Aria Operations 系統中以管理者權限執行操作。
二、已揭露攻擊活動說明
1. CISA已將CVE-2026-22719納入漏洞利用清單。[2]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-22719、CVE-2026-22720
描述:
使用版本:CVSS 3.1
分析分數:8.1、8.0
參考來源: Broadcom
▶ 影響平台
⌵
影響平台-系統:
1. 影響VMware Cloud Foundation / VMware vSphere Foundation (VMware Cloud Foundation Operations 元件)9.x.x.x 系列版本,建議升級至 9.0.2.0 或以上版本。
2. 影響VMware Aria Operations 8.x 系列版本,建議升級至 8.18.6 或以上版本。
3. 影響VMware Cloud Foundation(VMware Aria Operations 元件)5.x 及 4.x 系列版本,建議依官方公告套用 KB92148 修補更新。
4. 影響VMware Telco Cloud Platform (VMware Aria Operations 元件)5.x 及 4.x 系列版本,建議依官方公告套用 KB428241 修補更新。
5. 影響VMware Telco Cloud Infrastructure(VMware Aria Operations 元件)3. x 及 2.x 系列版本,建議依官方公告套用 KB428241 修補更新。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 官方針對CVE-2026-22719 提供暫行緩解措施(詳見 KB430349),供於規劃升級至修補版本期間降低風險使用。[3]
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947 | Broadcom |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://knowledge.broadcom.com/external/article/430349 | Broadcom緩解措施(KB430349) |
情資編號:
FISAC-200-202603-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞