Eine der gravierendsten Schwachstellen ist CVE-2026-47865. Broadcom schreibt die Entdeckung Filip Waeytens vom Technologie- und Cyber-Zentrum der NATO zu. Die Lücke ist als kritisch eingestuft und erlaubt laut Hersteller einem Angreifer mit Netzwerkzugriff, in die Avi-Kontrollebene einzudringen.
Waeytens entdeckte außerdem drei weitere Schwachstellen mit hoher Schwere: CVE-2026-47866, CVE-2026-47867 und CVE-2026-47868. Diese können nach Angaben von Broadcom genutzt werden, um eine Authentifizierung zu umgehen, beliebigen Code auszuführen und Berechtigungen bis auf Root-Ebene auszuweiten. Für die Ausnutzung dieser Lücken ist Netzwerk- oder lokaler Zugriff erforderlich.
Zwei weitere Schwachstellen gehen auf Lang Khuong Duy von Viettel IDC zurück. Dabei handelt es sich um CVE-2026-47871, die für Directory-Traversal-Angriffe missbraucht werden kann, sowie um CVE-2026-47870 zur Rechteausweitung. Beide stuft Broadcom als schwerwiegend ein.
Die siebte Lücke, CVE-2026-47869, ist ebenfalls als hoch eingestuft. Broadcom nennt hier sowohl Lang als auch Waeytens als verantwortliche Melder. Die Schwachstelle ermöglicht Remotecodeausführung und kann von einem authentifizierten Angreifer mit Netzwerkzugriff ausgenutzt werden.
VMware Avi Load Balancer ist eine softwaredefinierte Plattform, die Load-Balancing, Anwendungssicherheit und Analysen für Anwendungen in Hybrid- und Multi-Cloud-Umgebungen bereitstellt. Broadcom teilte mit, dass die jetzt veröffentlichten Updates alle sieben gemeldeten Schwachstellen beheben.
Hinweise auf Angriffe, die diese Lücken bereits ausnutzen, enthält der Sicherheitshinweis von Broadcom nicht. Der Hersteller erwähnt in seiner Mitteilung lediglich die Verfügbarkeit der Updates und die von den Forschern gemeldeten Auswirkungen der einzelnen Schwachstellen.
