# CVE-2026-22719 - VMware Aria Operations Command Injection RCE > [!high] CVSS 8.1 - Command injection sem autenticação no VMware Aria Operations · Broadcom · Patch: VMSA-2026-0001 (fev/2026) ## Visão Geral A CVE-2026-22719 é uma vulnerabilidade de injeção de comandos (Command Injection) no VMware Aria Operations (anteriormente VMware vRealize Operations), plataforma de gerenciamento e monitoramento de infraestrutura virtualizada da Broadcom. A falha permite que um atacante remoto sem autenticação injete comandos do sistema operacional, resultando em execução de código arbitrário no servidor. Foi corrigida no advisory VMSA-2026-0001 em 24 de fevereiro de 2026. A criticidade desta vulnerabilidade está ampliada pelo contexto de implantação: o Aria Operations é tipicamente implantado com acesso privilegiado a toda a infraestrutura VMware da organização - vCenter, hosts ESXi, storage e credenciais de serviço. Comprometer este appliance equivale a obter visibilidade e controle sobre a infraestrutura virtualizada inteira. Embora AC:H reduza o risco de exploração em massa, o EPSS de 83º percentil indica interesse elevado de atores avançados. > [!latam] Relevância para Brasil e LATAM > VMware Aria Operations é utilizado nos data centers de grandes bancos, operadoras de telecomúnicações e organizações governamentais brasileiras que operam infraestrutura vSphere. O comprometimento representa risco à infraestrutura virtualizada crítica. Ambientes VMware são alvos recorrentes de grupos de ransomware e atores estado-nação - especialmente após a série de vulnerabilidades VMware de 2024-2025. ## Resumo Técnico **CVE-2026-22719** é uma vulnerabilidade de **injeção de comandos** (Command Injection) no **[[VMware Aria Operations]]** (anteriormente VMware vRealize Operations), plataforma de gerenciamento e monitoramento de infraestrutura virtualizada da Broadcom. A falha permite que um atacante remoto sem autenticação injete comandos do sistema operacional, resultando em execução de código arbitrário no servidor. A vulnerabilidade foi divulgada e patcheada no advisory **VMSA-2026-0001** em **24 de fevereiro de 2026**. Embora a pontuação CVSS seja 8.1, a complexidade de ataque é alta (AC:H), o que reduz ligeiramente o risco de exploração em massa. **Pontuação de risco:** - CVSS v3.1: **8.1** (Alto) - Vetor: `AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H` - Exploração ativa: **não confirmada** - CISA KEV: **não listada** ## Exploração A vulnerabilidade explora falha de sanitização de entrada em um componente do VMware Aria Operations que processa parâmetros externos. A injeção de metacaracteres de shell nos parâmetros vulneráveis resulta na execução de comandos OS no contexto do servidor. **Características:** - **Sem autenticação:** nenhum acesso privilegiado necessário - **Complexidade alta (AC:H):** requer condições específicas ou conhecimento do ambiente-alvo - **Vetor de rede:** exploração remota via HTTP/HTTPS **Contexto de implantação:** O VMware Aria Operations é tipicamente implantado como appliance virtual em ambientes VMware vSphere, com acesso à interface de gerenciamento de infraestrutura (VMs, hosts ESXi, storage). O comprometimento do Aria Operations implica acesso potencial a toda a infraestrutura virtualizada gerenciada. **Nota sobre AC:H:** A alta complexidade de ataque pode referir-se a requisitos de timing específicos, conhecimento da configuração interna, ou condições de race condition. Pesquisadores de segurança ou grupos com conhecimento específico do produto podem superar essa barreira. ## Impacto - **Execução de código no appliance Aria Operations:** controle do sistema de monitoramento de infraestrutura - **Acesso a credenciais de infraestrutura:** o Aria Operations armazena credenciais para conexão com vCenter, ESXi hosts, e outros sistemas gerenciados - **Visibilidade sobre toda a infraestrutura virtual:** métricas, topologia, configurações de todas as VMs e hosts - **Possível pivô para ambientes vSphere:** credenciais armazenadas podem permitir acesso direto aos hypervisors **Impacto LATAM/Brasil:** VMware Aria Operations é utilizado em data centers de grandes bancos, operadoras e organizações governamentais brasileiras. O comprometimento representa risco para a infraestrutura virtualizada crítica da organização. **Versões afetadas:** | Produto | Versão Afetada | Versão Corrigida | |---------|---------------|-----------------| | VMware Aria Operations | < 8.18.6 | 8.18.6 | | VMware Cloud Foundation (VCF) | < 9.0.2.0 | 9.0.2.0 | ## Mitigação **Patch oficial:** - Atualizar VMware Aria Operations para **8.18.6 ou superior** - Atualizar VCF para **9.0.2.0 ou superior** - Advisory: [VMSA-2026-0001 - Broadcom Support](https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947) - **Nota:** a atualização pode requerer assistência do suporte Broadcom para migração em alguns cenários **Mitigações adicionais:** - Restringir acesso à interface de gerenciamento do Aria Operations por firewall/ACL - Usar autenticação multifator (MFA) para acesso ao console - Monitorar logs do Aria Operations para execução de processos inesperados - Revisar credenciais armazenadas no Aria Operations e rotacionar após patch ## Notas Relacionadas **Produto:** [[VMware Aria Operations]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1078-valid-accounts|T1552 - Unsecured Credentials]] **Setores em risco:** [[financial]] · [[government]] · [[telecomunicações]] · [[technology]] **Contexto:** Ambientes VMware/vSphere são alvos recorrentes de grupos de ransomware e atores estado-nação - manter patches atualizados é crítico