Broadcom ha solucionado cinco fallas, consideradas colectivamente «alta severidad», en las operaciones de TI de VMware y las herramientas de administración de registros dentro de la Fundación en la Nube, incluidos dos errores de divulgación de información que podrían conducir a fugas de credenciales bajo ciertas condiciones.
Los cinco tienen parches disponible. El aviso de seguridad de Broadcom aún no observa ninguna hazaña en el flujo.
Observamos que la explotación requiere acceso autorizado a implementaciones vulnerables, por lo que si se abusan con éxito en la naturaleza, lo más probable es que sea a través de cuentas comprometidas o rebeldes.
Los CVE afectan las operaciones de ARIA, utilizadas para administrar las operaciones de TI en diferentes entornos, y las operaciones de ARIA para registros, que es una herramienta para almacenar y analizar datos de registro. Ambas son piezas de VMware Cloud Foundation, lo que significa que los errores también afectan las versiones 4.x y 5.x de la plataforma de nube híbrida.
Específicamente: cuatro de las vulnerabilidades (CVE-2025-22218, CVE-2025-22219, CVE-2025-22220 y CVE-2025-22221) afectan las operaciones de ARIA de VMware para las versiones de Logs 8 y Newer, y uno (CVE-2025– 22222) afecta las mismas versiones de las operaciones de VMware Aria. Actualizar ambos productos a V8.18.3 solucionará el problema. Los usuarios de VMware Cloud Foundation pueden seguir KB92148 Para aplicar las soluciones necesarias.
El más severo del grupo es CVE-2025-22218, una vulnerabilidad de divulgación de información con clasificación de 8.5 en las operaciones de VMware Aria para registros.
«Un actor malicioso con vistas solo los permisos de administración pueden leer las credenciales de un producto VMware integrado con las operaciones de VMware Aria para registros», según la alerta de seguridad.
El único error que afecta las operaciones de ARIA de VMware, CVE-2025-22222, también es una vulnerabilidad de divulgación de información y recibió una calificación de gravedad de 7,7 CVSS.
Alguien con privilegios no administrativos puede explotar este error y robar credenciales para un complemento de salida siempre que tenga, o haya robado, una identificación de credencial de servicio válida.
Las fallas solucionadas hoy en las operaciones de vMware Aria para registros también incluyen dos vulnerabilidades almacenadas de secuencias de comandos (XSS): CVE-2025-22219 y CVE-2025-22221, que recibieron una calificación CVSS de 6.8 y 5.2, respectivamente.
Ambos pueden ser abusados para inyectar guiones maliciosos en la aplicación, que luego se ejecuta en el navegador de la víctima. CVE-2025-22219 no requiere privilegios administrativos para explotar y pueden conducir a operaciones arbitrarias como usuario de nivel de administración.
Sin embargo, un atacante necesita privilegios de administración para abusar de CVE-2025-22221. Pero si lo hacen, pueden inyectar un script malicioso para ser ejecutado en el navegador de una víctima al realizar una acción de eliminación en la configuración del agente.
Y finalmente, hay una vulnerabilidad de reducción de privilegios de 4.3, rastreada como CVE-2025-22220. Este permite que un usuario con acceso a la red a las operaciones de ARIA para la API de registros realice ciertas operaciones que de otro modo requerirían privilegios administrativos.
Broadcom acreditó a Maxime Maximbiac de Michelin Cert, y Yassine Bengana y Quentin Ebel de Abicom por detectar y revelar las cinco vulnerabilidades.
Tanto los fisgeo-estatal y los delincuentes motivados financieramente les encanta explotar los errores VMware debido al uso ubicuo del software de virtualización en las principales empresas y gobiernos. Dada esta historia como un objetivo principal, quizás sea una buena idea poner estos parches en la lista de TODO a corto plazo, incluso si están bastante advertidos. ®
