Broadcom ha rilasciato Aggiornamenti di sicurezza per patch cinque difetti di sicurezza che incidono sulle operazioni ARIA VMware e le operazioni ARIA per i registri, avvertendo i clienti che gli aggressori potrebbero sfruttarli per ottenere un accesso elevato o ottenere informazioni sensibili.
L’elenco dei difetti identificati, che incidono sulle versioni 8.x del software program, è sotto –
- CVE-2025-22218 (Punteggio CVSS: 8.5) – Un attore dannoso con visualizzazione solo le autorizzazioni amministrative possono essere in grado di leggere le credenziali di un prodotto VMware integrato con le operazioni VMware ARIA per i registri
- CVE-2025-22219 (Punteggio CVSS: 6.8)-Un attore dannoso con privilegi non amministrativi può essere in grado di iniettare uno script dannoso che può portare a operazioni arbitrarie come utente amministrativo tramite un attacco di script siti (XSS) memorizzato
- CVE-2025-22220 (Punteggio CVSS: 4.3) – Un attore dannoso con privilegi non amministrativi e l’accesso alla rete alle operazioni ARIA per i registri API può essere in grado di eseguire determinate operazioni nel contesto di un utente amministrativo
- CVE-2025-22221 (Punteggio CVSS: 5.2) – Un attore dannoso con privilegi amministrativi per le operazioni di VMware Aria per i registri può essere in grado di iniettare uno script dannoso che potrebbe essere eseguito nel browser di una vittima durante l’esecuzione di un’azione di eliminazione nella configurazione dell’agente
- CVE-2025-22222 (Punteggio CVSS: 7.7) – Un utente dannoso con privilegi non amministrativi può sfruttare questa vulnerabilità per recuperare le credenziali per un plug -in in uscita se è noto un ID credenziale di servizio valido
I ricercatori della sicurezza Maxime Escourbiac di Michelin Cert e Yassine Bengana e Quentin Ebel di Abicom e parte del group Michelin CERT per aver rilevato e segnalato i difetti. Vale la pena notare che lo stesso group ha individuato altre due carenze nello stesso prodotto (CVE-2024-38832 e CVE-2024-38833) alla high quality di novembre 2024.
Tutte le vulnerabilità di cui sopra sono state patchate nelle operazioni ARIA VMware e nelle operazioni ARIA per i registri versione 8.18.3. Il fornitore di servizi di virtualizzazione non fa menzione di questi problemi sfruttati in natura.
La consulenza arriva giorni dopo Broadcom avvertito di un difetto di sicurezza advert alta severità nel bilanciamento del carico AVI VMware (CVE-2025-22217, punteggio CVSS: 8.6) che potrebbe essere armato da attori dannosi per ottenere l’accesso al database.
