Platform
vmware
Component
vmware-aria-operations
Opgelost in
8.18.6
5.2.3
9.0.2
5.2.3
CVE-2026-22721 is een privilege escalatie kwetsbaarheid in VMware Aria Operations. Deze kwetsbaarheid stelt een kwaadwillende actor met bestaande privileges in vCenter in staat om ongeautoriseerde administratieve toegang te verkrijgen binnen VMware Aria Operations. De kwetsbaarheid beïnvloedt versies van Aria Operations tussen 2.0 en 9.0.2 inclusief. De kwetsbaarheid is verholpen in versie 9.0.2.
Een succesvolle exploitatie van CVE-2026-22721 kan een aanvaller in staat stellen om de controle over VMware Aria Operations over te nemen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, configuratiewijzigingen en verstoring van de dienstverlening. De impact is aanzienlijk, aangezien een aanvaller de omgeving kan compromitteren via een bestaande, maar beperkte, toegang tot vCenter. Dit is vergelijkbaar met scenario's waarin een gebruiker met beperkte rechten in een beheerde omgeving toegang kan krijgen tot kritieke systemen door misbruik te maken van configuratiefouten of onvoldoende toegangscontroles.
CVE-2026-22721 is openbaar bekend gemaakt op 25 februari 2026. Er is momenteel geen publieke proof-of-concept (POC) beschikbaar, maar de ernst van de kwetsbaarheid en de potentiële impact suggereren een medium risico op actieve exploitatie. Het is aan te raden om de omgeving te monitoren op verdachte activiteiten en de aanbevolen mitigaties te implementeren.
Organizations heavily reliant on VMware Aria Operations for monitoring and management are particularly at risk. This includes those with complex vCenter environments, shared vCenter instances, or legacy Aria Operations deployments that have not been regularly patched. Environments where Aria Operations is used to manage critical infrastructure components are also at heightened risk.
• vmware: Examine Aria Operations logs for unusual privilege elevation attempts. Use VMware vSphere CLI to audit user permissions and access controls.
# Example: Check user permissions in vSphere
esxcli user perf-manager/get --username <username>• generic web: Monitor Aria Operations web interface access logs for suspicious login attempts or unauthorized configuration changes.
grep "<vcenter_ip>" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-22721 is het upgraden van VMware Aria Operations naar versie 9.0.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegang tot Aria Operations te beperken voor gebruikers met vCenter-rechten. Implementeer strikte toegangscontroles en monitor de Aria Operations omgeving op verdachte activiteiten. Controleer de vCenter-rechten en zorg ervoor dat gebruikers alleen de minimale benodigde rechten hebben. Na de upgrade, verifieer de correcte werking van Aria Operations en controleer de toegangscontroles om er zeker van te zijn dat de kwetsbaarheid is verholpen.
Om de kwetsbaarheid CVE-2026-22721 te verhelpen, pas de patches toe die vermeld staan in de 'Fixed Version' kolom van de 'Response Matrix' die te vinden is in VMSA-2026-0001. Raadpleeg de verstrekte link in de referenties voor meer details en specifieke instructies over hoe de patches toe te passen op uw versie van VMware Aria Operations.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22721 is a vulnerability in VMware Aria Operations allowing attackers with vCenter privileges to gain administrative access. It's rated MEDIUM severity (CVSS 6.2) and affects versions 2.0–9.0.2.
If you are running VMware Aria Operations versions 2.0 through 9.0.2 and have vCenter access, you are potentially affected. Upgrade to 9.0.2 to mitigate the risk.
Apply the security patch released by VMware. Upgrade to version 9.0.2 or later. Refer to VMSA-2026-0001 for detailed instructions.
As of now, there are no publicly known active exploits. However, the potential for privilege escalation warrants proactive patching.
You can find the official advisory on the Broadcom Support website: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.