CISA adiciona vulnerabilidade crítica do VMware Aria Operations ao KEV

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

Fonte: https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
04/03/2026 • Risco: ALTO
VULNERABILIDADE

CISA adiciona vulnerabilidade crítica do VMware Aria Operations ao KEV

RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-22719, com alta severidade, permite que atacantes não autenticados executem comandos arbitrários em ambientes VMware. A correção é urgente, especialmente para agências governamentais e empresas que utilizam essas tecnologias.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a exploração e interrupção de serviços.
Operacional
Possibilidade de execução remota de código durante a migração de produtos.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços em Nuvem']

📊 INDICADORES CHAVE

Pontuação CVSS de 8.1 para CVE-2026-22719. Indicador
Prazo para correção: 24 de março de 2026. Contexto BR
Versões corrigidas: 9.0.2.0 e 8.18.6. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se as versões afetadas estão em uso e se o patch foi aplicado.
2 Aplicar o patch disponível ou utilizar o script de contorno imediatamente.
3 Monitorar logs de acesso e atividades suspeitas nos sistemas afetados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração ativa de vulnerabilidades que podem comprometer a segurança de sistemas críticos.

⚖️ COMPLIANCE

Implicações na conformidade com a LGPD, especialmente em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).