Plateforme
vmware
Composant
vmware-aria-operations
Corrigé dans
8.18.6
5.2.3
9.0.2
5.2.3
La vulnérabilité CVE-2026-22721 affecte VMware Aria Operations, permettant une escalade de privilèges. Un acteur malveillant disposant de privilèges dans vCenter pour accéder à Aria Operations peut exploiter cette faille pour obtenir un accès administratif à VMware Aria Operations. Les versions concernées sont les versions 2.0 à 9.0.2. La correction consiste à appliquer les correctifs disponibles via VMSA-2026-0001.
Cette vulnérabilité d'escalade de privilèges permet à un attaquant déjà présent dans l'environnement vCenter, et ayant un accès limité à VMware Aria Operations, de contourner les contrôles d'accès et d'obtenir des privilèges administratifs. Cela lui permettrait de modifier les configurations, d'accéder à des données sensibles, voire de compromettre l'ensemble de l'infrastructure VMware. L'impact est significatif car il permet de passer d'un accès limité à un contrôle total sur Aria Operations, ouvrant la porte à des actions malveillantes et à la compromission des données surveillées par l'outil.
La vulnérabilité CVE-2026-22721 a été divulguée publiquement le 25 février 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. L'absence de PoC publics rend l'exploitation plus difficile, mais la complexité de l'environnement VMware pourrait permettre à des acteurs sophistiqués de développer leurs propres exploits.
Organizations heavily reliant on VMware Aria Operations for monitoring and management are particularly at risk. This includes those with complex vCenter environments, shared vCenter instances, or legacy Aria Operations deployments that have not been regularly patched. Environments where Aria Operations is used to manage critical infrastructure components are also at heightened risk.
• vmware: Examine Aria Operations logs for unusual privilege elevation attempts. Use VMware vSphere CLI to audit user permissions and access controls.
# Example: Check user permissions in vSphere
esxcli user perf-manager/get --username <username>• generic web: Monitor Aria Operations web interface access logs for suspicious login attempts or unauthorized configuration changes.
grep "<vcenter_ip>" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer les correctifs publiés par VMware dans VMSA-2026-0001. Assurez-vous de consulter attentivement la matrice de réponse fournie dans l'avis de sécurité pour identifier les versions corrigées. Si l'application des correctifs est problématique, examinez la possibilité d'une rétrogradation vers une version antérieure stable, bien que cela puisse introduire d'autres vulnérabilités. En attendant l'application des correctifs, limitez l'accès à VMware Aria Operations aux utilisateurs strictement nécessaires et renforcez les contrôles d'authentification. Vérifiez après l'application des correctifs que l'accès administrateur n'est plus possible depuis un compte disposant uniquement de privilèges vCenter.
Pour corriger la vulnérabilité CVE-2026-22721, appliquez les correctifs indiqués dans la colonne 'Fixed Version' de la 'Response Matrix' que vous trouverez dans VMSA-2026-0001. Consultez le lien fourni dans les références pour plus de détails et d'instructions spécifiques sur la façon d'appliquer les correctifs correspondant à votre version de VMware Aria Operations.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22721 is a vulnerability in VMware Aria Operations allowing attackers with vCenter privileges to gain administrative access. It's rated MEDIUM severity (CVSS 6.2) and affects versions 2.0–9.0.2.
If you are running VMware Aria Operations versions 2.0 through 9.0.2 and have vCenter access, you are potentially affected. Upgrade to 9.0.2 to mitigate the risk.
Apply the security patch released by VMware. Upgrade to version 9.0.2 or later. Refer to VMSA-2026-0001 for detailed instructions.
As of now, there are no publicly known active exploits. However, the potential for privilege escalation warrants proactive patching.
You can find the official advisory on the Broadcom Support website: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.