CVE-2026-22719 wurde erstmals am 24. Februar offengelegt und mit dem Update auf Version 8.18.6 behoben. Gleichzeitig schloss Broadcom zwei weitere Lücken in Aria Operations: die Cross-Site-Scripting-Schwachstelle CVE-2026-22720 (CVSS 8.0) und die Schwachstelle zur Rechteausweitung CVE-2026-22721 (CVSS 6.2).

Am 3. März fügte die CISA CVE-2026-22719 zusammen mit einer aktuellen Qualcomm-Lücke ihrem KEV-Katalog hinzu. Auf Nachfrage von Dark Reading bekräftigte Broadcom lediglich seine bestehende Stellungnahme, wonach Berichte über eine Ausnutzung vorlägen, deren Gültigkeit aber nicht unabhängig bestätigt werden könne.

Kunden werden zum Einspielen des Patches aufgefordert, alternativ steht ein Skript als Behelfslösung bereit, das betroffene Anwender in ihren Umgebungen ausführen können. Als verwundbar gelten Installationen von Aria Operations Version 8 bis einschließlich 8.18.5 sowie Version 9 bis einschließlich 9.0.1.

Aria Operations ist eine einheitliche IT-Management-Plattform zur Überwachung und Verwaltung einer Vielzahl von Cloud-Umgebungen. Gerade wegen des umfassenden Zugriffs, den solche Produkte voraussetzen, bilden sie einen zentralen Angriffspunkt, über den ein Angreifer breite Teile der Infrastruktur erreichen kann.

Collin Hogue-Spears, Senior Director of Solution Management bei Black Duck, erklärt gegenüber Dark Reading, dass eine Kompromittierung von Aria Operations über eine Lücke wie CVE-2026-22719 zugleich die gesamte virtuelle Infrastruktur trifft – einschließlich Zugangsdaten, Netzwerktopologie und Überwachung. “Ein Angreifer, der Aria übernimmt, stiehlt nicht einen einzelnen Server”, so Hogue-Spears. “Er erbt die Zugangsdaten und die Netzwerktopologie jedes Systems, das Aria verwaltet. Er sieht, was Ihr SOC sieht. Er kontrolliert, worauf Ihr SOC vertraut.” Das Erste, was ein fähiger Angreifer nach der Übernahme einer Überwachungsplattform tue, sei, diese melden zu lassen, dass nichts geschehen sei – während das Team auf saubere Dashboards blicke, ernte der Angreifer vCenter-Dienstkonten, kartiere jeden ESXi-Host und bereite den Einsatz von Ransomware im gesamten virtuellen Bestand vor. Er verweist darauf, dass Scattered Spider, Qilin und die Lazarus Group dokumentierte Kampagnen gegen VMware-Management-Infrastruktur geführt haben, gerade wegen dieses überdimensionalen Zugriffs.

Obwohl eine Ausnutzung nur während eines Migrationsfensters möglich ist, erfordert die Command Injection keine Authentifizierung und gewährt Root-Rechte. Hogue-Spears rät daher, umgehend auf eine fehlerbereinigte Version (Aria Operations 8.18.6 oder VCF 9.0.2.0) zu aktualisieren oder die Behelfslösung sofort einzusetzen, falls ein Patch länger als 48 Stunden dauern würde.

CVE-2026-22719 reiht sich in eine Serie angegriffener VMware-Lücken ein. Im vergangenen März legte VMware drei Zero-Day-Schwachstellen offen, darunter CVE-2025-22224, einen kritischen Fehler in VMware ESXi und Workstation. Im September fanden Forscher Hinweise darauf, dass eine kritische Schwachstelle zur Rechteausweitung in Aria Operations und VMware Tools (CVE-2025-41244) fast ein Jahr lang ausgenutzt worden war.