CISA آسیبپذیری CVE-2026-22719 در VMware Aria Operations را به فهرست KEV افزود و برای اصلاح فوری آن هشدار داد.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) آسیبپذیری CVE-2026-22719 در VMware Aria Operations را به دلیل شواهدی از بهرهبرداری فعال به فهرست Known Exploited Vulnerabilities اضافه کرد. این نقص از نوع Command Injection است و میتواند به مهاجم بدون احراز هویت امکان اجرای دستورات دلخواه و در نهایت اجرای کد از راه دور در محیطهای سازمانی را بدهد. این مشکل در محصولات VMware Cloud Foundation و VMware vSphere Foundation و همچنین Aria Operations شناسایی شده و در نسخههای جدید وصله شده است.
آژانس Cybersecurity and Infrastructure Security Agency اعلام کرد یک آسیبپذیری مهم در پلتفرم مدیریت زیرساختهای مجازی VMware Aria Operations به دلیل بهرهبرداری فعال در حملات سایبری به فهرست Known Exploited Vulnerabilities (KEV) اضافه شده است.
این نقص با شناسه CVE-2026-22719 و امتیاز CVSS برابر با ۸.۱ طبقهبندی شده و از نوع Command Injection است. بر اساس توضیحات منتشرشده در advisory شرکت Broadcom، مهاجم میتواند بدون نیاز به احراز هویت از این ضعف استفاده کرده و دستورات دلخواه را روی سامانه اجرا کند.
طبق اعلام شرکت، این حمله میتواند در شرایطی رخ دهد که فرآیند support-assisted product migration در VMware Aria Operations در حال انجام باشد. در چنین شرایطی، یک مهاجم از راه دور قادر خواهد بود با سوءاستفاده از این نقص امنیتی دستورات دلخواه اجرا کند که در نهایت ممکن است به Remote Code Execution (RCE) در سامانه منجر شود.
محصولات آسیبپذیر
این نقص امنیتی چندین محصول مهم در اکوسیستم VMware را تحت تأثیر قرار میدهد، از جمله:
- VMware Cloud Foundation
- VMware vSphere Foundation
- VMware Aria Operations
این مشکل در نسخههای زیر اصلاح شده است:
- VMware Cloud Foundation و VMware vSphere Foundation نسخه 9.0.2.0
- VMware Aria Operations نسخه 8.18.6
آسیبپذیریهای مرتبط
در کنار CVE-2026-22719، دو نقص امنیتی دیگر نیز در همان advisory برطرف شدهاند:
- CVE-2026-22720 – آسیبپذیری Stored Cross-Site Scripting (XSS)
- CVE-2026-22721 – آسیبپذیری Privilege Escalation که میتواند به دسترسی مدیریتی منجر شود
این مجموعه نقصها نشان میدهد که چندین لایه امنیتی در این محصولات تحت تأثیر قرار گرفتهاند؛ از اجرای کد تا ارتقای سطح دسترسی.
راهکار موقت برای سازمانها
برای سازمانهایی که امکان نصب فوری وصله را ندارند، Broadcom یک راهکار موقت ارائه کرده است. در این روش، مدیران سیستم میتوانند اسکریپت aria-ops-rce-workaround.sh را با سطح دسترسی root در هر نود از Aria Operations Virtual Appliance اجرا کنند تا ریسک بهرهبرداری کاهش یابد.
وضعیت بهرهبرداری در دنیای واقعی
با وجود اینکه CISA این آسیبپذیری را به فهرست KEV افزوده است، هنوز اطلاعات دقیقی درباره نحوه بهرهبرداری، گروه مهاجم یا مقیاس حملات منتشر نشده است.
شرکت Broadcom نیز در بهروزرسانی بولتن امنیتی خود اعلام کرده است که گزارشهایی درباره احتمال سوءاستفاده از این نقص دریافت کرده، اما هنوز نمیتواند صحت آنها را بهطور مستقل تأیید کند.
دستور فوری برای بروزرسانی
با توجه به قرار گرفتن این آسیبپذیری در فهرست KEV، نهادهای دولتی آمریکا در شاخه Federal Civilian Executive Branch (FCEB) موظف شدهاند اصلاحات امنیتی مربوط به این نقص را حداکثر تا ۲۴ مارس ۲۰۲۶ اعمال کنند.
CISA در بیانیه خود تأکید کرده است که آسیبپذیریهایی که در KEV ثبت میشوند اغلب بهعنوان بردار اولیه حمله توسط مهاجمان سایبری مورد استفاده قرار میگیرند و میتوانند خطرات جدی برای زیرساختهای حیاتی و سازمانی ایجاد کنند.