Broadcom ha publicado actualizaciones de seguridad para parchear cinco defectos de seguridad que afectan las operaciones de VMware Solo y las operaciones de ARIA para registros, advirtiendo a los clientes que los atacantes podrían explotarlos para obtener ataque elevado u obtener información confidencial.
La cinta de defectos identificados, que impactan las versiones 8.x del software, está a continuación –
- CVE-2025-22218 (Puntuación CVSS: 8.5) – Un actor malvado con vistas solo los permisos de compañía pueden repasar las credenciales de un producto VMware integrado con operaciones de ARIA VMware para registros
- CVE-2025-22219 (Puntuación CVSS: 6.8)-Un actor malvado con privilegios no administrativos puede inyectar un script malvado que puede conducir a operaciones arbitrarias como becario administrador a través de un ataque de secuencias de comandos de sitios cruzados (XSS) almacenados
- CVE-2025-22220 (Puntuación CVSS: 4.3) – Un actor malvado con privilegios no administrativos y ataque a la red a las operaciones de ARIA para la API de registros puede realizar ciertas operaciones en el contexto de un becario administrador
- CVE-2025-22221 (Puntuación CVSS: 5.2) – Un actor malvado con privilegios de compañía a las operaciones de vMware Solo para registros puede inyectar un script malvado que podría ejecutarse en el navegador de una víctima al realizar una argumento de asesinato en la configuración del agente
- CVE-2025-22222 (Puntuación CVSS: 7.7) – Un becario malvado con privilegios no administrativos puede explotar esta vulnerabilidad para recuperar las credenciales para un complemento de salida si se sabe una ID de credencial de servicio válida
Los investigadores de seguridad Maxime Maximbiac de Michelin Cert, y Yassine Bengana y Quentin Ebel de Abicom y parte del equipo de Michelin Cert para detectar e informar los defectos. Vale la pena señalar que el mismo equipo vio otras dos deficiencias en el mismo producto (CVE-2024-38832 y CVE-2024-38833) a fines de noviembre de 2024.
Todas las vulnerabilidades ayer mencionadas se han parcheado en las operaciones de VMware Solo y las operaciones ARIA para los registros de la traducción 8.18.3. El proveedor de servicios de virtualización no menciona que estos problemas se explotan en la naturaleza.
El aviso se produce días luego de que Broadcom advirtió sobre una rotura de seguridad de incorporación severidad en VMware AVI Load Balancer (CVE-2025-22217, puntaje CVSS: 8.6) que podrían ser armados por actores maliciosos para obtener ataque a la cojín de datos.