Broadcom ha publicado actualizaciones de seguridad para parchear cinco defectos de seguridad que afectan las operaciones de VMware Aria y las operaciones de ARIA para registros, advirtiendo a los clientes que los atacantes podr铆an explotarlos para obtener acceso elevado u obtener informaci贸n confidencial.
La lista de defectos identificados, que impactan las versiones 8.x del software, est谩 a continuaci贸n –
- CVE-2025-22218 (Puntuaci贸n CVSS: 8.5) – Un actor malicioso con vistas solo los permisos de administraci贸n pueden leer las credenciales de un producto VMware integrado con operaciones de ARIA VMware para registros
- CVE-2025-22219 (Puntuaci贸n CVSS: 6.8)-Un actor malicioso con privilegios no administrativos puede inyectar un script malicioso que pueda conducir a operaciones arbitrarias como usuario administrador a trav茅s de un ataque de secuencias de comandos de sitios cruzados (XSS) almacenados
- CVE-2025-22220 (Puntuaci贸n CVSS: 4.3) – Un actor malicioso con privilegios no administrativos y acceso a la red a las operaciones de ARIA para la API de registros puede realizar ciertas operaciones en el contexto de un usuario administrador
- CVE-2025-22221 (Puntuaci贸n CVSS: 5.2) – Un actor malicioso con privilegios de administraci贸n a las operaciones de vMware Aria para registros puede inyectar un script malicioso que podr铆a ejecutarse en el navegador de una v铆ctima al realizar una acci贸n de eliminaci贸n en la configuraci贸n del agente
- CVE-2025-22222 (Puntuaci贸n CVSS: 7.7) – Un usuario malicioso con privilegios no administrativos puede explotar esta vulnerabilidad para recuperar las credenciales para un complemento de salida si se sabe una ID de credencial de servicio v谩lida
Los investigadores de seguridad Maxime Maximbiac de Michelin Cert, y Yassine Bengana y Quentin Ebel de Abicom y parte del equipo de Michelin Cert para detectar e informar los defectos. Vale la pena se帽alar que el mismo equipo vio otras dos deficiencias en el mismo producto (CVE-2024-38832 y CVE-2024-38833) a fines de noviembre de 2024.
Todas las vulnerabilidades antes mencionadas se han parcheado en las operaciones de VMware Aria y las operaciones ARIA para los registros de la versi贸n 8.18.3. El proveedor de servicios de virtualizaci贸n no menciona que estos problemas se explotan en la naturaleza.
El aviso se produce d铆as despu茅s de que Broadcom advirti贸 sobre una falla de seguridad de alta severidad en VMware AVI Load Balancer (CVE-2025-22217, puntaje CVSS: 8.6) que podr铆an ser armados por actores maliciosos para obtener acceso a la base de datos.
