Broadcom 旗下 Vmware 虛擬化軟體存在2個重大資安漏洞
- 發布單位:TWCERT/CC
- 更新日期:2026-03-11
- 點閱次數:168
- 內容說明
Broadcom 針對旗下多個 Vmware 虛擬化軟體產品發布重大資安公告。
【CVE-2026-22719,CVSS:8.1】
此為指令注入漏洞,Aria Operations支援協助產品遷移(support-assisted product migration)流程中,可使未經身分鑑別之遠端攻擊者利用此漏洞於受影響設備執行任意指令。
註:目前已觀察到有攻擊者利用此漏洞,建議儘速採取暫時緩解措施,以防止針對此漏洞可能的攻擊發生。
【CVE-2026-22720,CVSS:8.0】
此為儲存型跨網站腳本攻擊漏洞,可使具建立自訂評估標準(custom benchmark)權限之遠端攻擊者注入惡意腳本,進而以管理者權限執行系統操作。
- 影響平台
VMware Aria Operations 8.05至8.18.6(不含)以前版本
VMware Cloud Foundation 4.0至5.2.3(不含)以前版本
VMware Cloud Foundation 9.0至9.0.2.0(不含)以前版本
VMware Telco Cloud Platform 4.0至5.1(含)以前版本
VMware Telco Cloud Infrastructure 2.2至3.0(含)以前版本
- 處置建議
根據官方網站釋出的解決方式進行修補: