Die CISA hat die Schwachstelle CVE-2026-22719 in ihren KEV-Katalog aufgenommen und damit eine aktive Ausnutzung bestätigt. Die Lücke betrifft Broadcom VMware Aria Operations und wird mit einem CVSS-Wert von 8,1 als hochgradig kritisch eingestuft.

Technisch handelt es sich um eine Command-Injection-Schwachstelle. In einer im vergangenen Monat veröffentlichten Sicherheitsmeldung beschreibt der Hersteller das Risiko so: Ein bösartiger, nicht authentifizierter Akteur könne die Lücke ausnutzen, um beliebige Befehle auszuführen, was zu Remote Code Execution in VMware Aria Operations führen könne, während eine supportgestützte Produktmigration läuft.

Broadcom hat CVE-2026-22719 gemeinsam mit zwei weiteren Schwachstellen behoben: CVE-2026-22720, einer gespeicherten Cross-Site-Scripting-Lücke, sowie CVE-2026-22721, einer Schwachstelle zur Rechteausweitung, die zu administrativem Zugriff führen kann.

Kunden, die den Patch nicht sofort einspielen können, stellt der Hersteller eine Übergangslösung bereit: Sie können auf jedem Knoten der Aria Operations Virtual Appliance ein Shell-Skript namens “aria-ops-rce-workaround.sh” als Root herunterladen und ausführen.

Zur konkreten Ausnutzung in freier Wildbahn liegen bislang keine Details vor – weder dazu, wie die Angriffe ablaufen, noch dazu, wer dahintersteht oder welchen Umfang die Aktivitäten haben. Broadcom erklärte in einer Aktualisierung seiner Mitteilung, man sei sich Berichten über eine mögliche Ausnutzung von CVE-2026-22719 bewusst, könne deren Stichhaltigkeit jedoch nicht unabhängig bestätigen.

Angesichts der aktiven Ausnutzung müssen die zivilen US-Bundesbehörden (Federal Civilian Executive Branch) die Korrekturen bis zum 24. März 2026 einspielen.