CVE-2026-22719 : injection de commandes critique dans VMware Aria Operations exploitée activement. CISA KEV, trois failles chaînables corrigées par Broadcom.
En bref
- CVE-2026-22719 : injection de commandes dans VMware Aria Operations — CVSS 8.1
- Ajoutée au catalogue CISA KEV le 3 mars 2026 suite à des preuves d'exploitation active
- Appliquer le correctif Broadcom ou exécuter le script de contournement fourni sur chaque nœud
Les faits
Broadcom a corrigé la CVE-2026-22719, une vulnérabilité d'injection de commandes dans VMware Aria Operations (anciennement vRealize Operations), notée CVSS 8.1. Cette faille permet à un attaquant non authentifié d'exécuter des commandes arbitraires sur l'appliance, pouvant mener à une prise de contrôle complète par exécution de code à distance. La vulnérabilité est exploitable lorsqu'une migration assistée par le support est en cours, ce qui crée une fenêtre d'attaque spécifique mais critique.
Le CISA a ajouté cette CVE à son catalogue Known Exploited Vulnerabilities le 3 mars 2026, imposant aux agences fédérales américaines un délai de remédiation au 24 mars. Broadcom a confirmé être « au courant de rapports d'exploitation potentielle » sans pouvoir en valider indépendamment l'ampleur. Deux autres vulnérabilités ont été corrigées simultanément : la CVE-2026-22720 (XSS stocké) et la CVE-2026-22721 (escalade de privilèges vers administrateur), formant un trio de failles chaînables particulièrement dangereux.
Impact et exposition
VMware Aria Operations est déployé dans de nombreuses entreprises pour la supervision et l'optimisation des environnements virtualisés et cloud. Toute instance accessible depuis le réseau pendant une phase de migration est potentiellement vulnérable. Le chaînage possible avec les CVE-2026-22720 et CVE-2026-22721 aggrave le risque : un attaquant pourrait combiner l'injection de commandes avec l'escalade de privilèges pour obtenir un accès administrateur complet, puis utiliser le XSS stocké pour persister dans l'environnement. Les environnements hybrides et multi-cloud utilisant Aria Operations comme point central de supervision sont les plus exposés.
Recommandations
- Appliquer immédiatement le correctif publié par Broadcom pour VMware Aria Operations, couvrant les trois CVE (22719, 22720, 22721)
- Si le patch ne peut pas être déployé rapidement, exécuter le script de contournement aria-ops-rce-workaround.sh en tant que root sur chaque nœud Virtual Appliance
- Restreindre l'accès réseau aux interfaces de gestion d'Aria Operations aux seuls réseaux d'administration
- Auditer les logs d'accès pour détecter des tentatives d'injection de commandes ou des connexions non autorisées pendant les phases de migration
Mon instance Aria Operations est-elle vulnérable si aucune migration n'est en cours ?
La CVE-2026-22719 est exploitable spécifiquement lorsqu'une migration assistée par le support est en cours. Toutefois, les CVE-2026-22720 (XSS stocké) et CVE-2026-22721 (escalade de privilèges) corrigées dans le même bulletin n'ont pas cette restriction. Il est donc fortement recommandé d'appliquer le correctif complet dans tous les cas, indépendamment de l'état de migration de votre environnement.
Comment fonctionne le script de contournement fourni par Broadcom ?
Le script aria-ops-rce-workaround.sh doit être exécuté en tant que root sur chaque nœud de l'appliance Aria Operations. Il désactive le composant vulnérable exploité pendant la migration assistée. Ce contournement est temporaire et ne remplace pas l'application du correctif complet, mais il réduit la surface d'attaque en attendant le déploiement du patch.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Cisco SD-WAN : un zero-day CVSS 10 exploité depuis trois ans
CVE-2026-20127 : faille CVSS 10.0 dans Cisco SD-WAN exploitée par le groupe APT UAT-8616 depuis 2023. Contournement d'authentification permettant un accès administrateur complet.
Citrix NetScaler : faille critique CVSS 9.3 exploitée activement
La CVE-2026-3055 permet une fuite mémoire critique sur Citrix NetScaler ADC et Gateway configurés en SAML IDP. Exploitation active confirmée, module Metasploit disponible.
Databricks lance Lakewatch, un SIEM dopé à l'IA générative
Databricks lance Lakewatch, un SIEM alimenté par des agents IA Claude d'Anthropic, après l'acquisition d'Antimatter et SiftD.ai.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire