Eine hochgefährliche Befehlsinjektions-Schwachstelle in VMware Aria Operations (CVE-2026-22719) wird bereits von Angreifern in freier Wildbahn ausgenutzt. Das Sicherheitsrisiko ermöglicht unauthentifizierten Zugang zu Cloud-Infrastrukturen.
Die US-Cybersicherheitsbehörde CISA warnt vor einer neuen Schwachstelle in VMware Aria Operations, die bereits von Cyberkriminellen ausgenutzt wird. Es handelt sich um CVE-2026-22719, eine Befehlsinjektions-Lücke mit dem CVSS-Wert 8.1, die Versionen vor 8.18.6 betrifft.
Laut Broadcom, dem Eigentümer von VMware, können Angreifer ohne Authentifizierung beliebige Befehle ausführen und dadurch Remote-Code-Execution-Attacken durchführen – besonders während Produktmigrationsprozessen. Die Schwachstelle wurde am 24. Februar zusammen mit zwei weiteren Fehlern (CVE-2026-22720 und CVE-2026-22721) offengelegt. Am 3. März verzeichnete CISA das Loch in ihrer Liste der aktiv ausgebeuteten Schwachstellen.
Besonders kritisch: Aria Operations fungiert als zentraler Zugriffspunkt für Cloud-Infrastrukturen. “Ein Angreifer, der Aria kompromittiert, stiehlt nicht einfach einen Server”, warnt Collin Hogue-Spears von Black Duck. “Er erhält Zugriff auf alle Anmeldedaten und die gesamte Netzwerktopologie aller verwalteten Systeme.” Bekannte Angreifer wie Scattered Spider, Qilin und die Lazarus Group haben nachweislich VMware-Management-Infrastruktur als Ziel gewählt, um auf diese umfassende Zugriffsebene zu gelangen.
Betroffen sind Aria Operations 8 bis einschließlich 8.18.5 sowie Version 9 bis 9.0.1. Broadcom empfiehlt dringend ein Update auf Version 8.18.6 oder ein Sicherheits-Patch-Skript. Sicherheitsexperten raten: Entweder innerhalb von 48 Stunden patchen oder sofort die bereitgestellte Workaround implementieren. Dies ist nicht die erste kritische VMware-Lücke – im September wurde bekannt, dass CVE-2025-41244 fast ein Jahr lang ausgenutzt wurde.
Quelle: Dark Reading