Broadcom exhorte l’application de correctifs qui traitent des vulnérabilités en appuyant sur les outils de gestion du cloud de VMware.
VMware a fixé plusieurs vulnérabilités de haute sévérité affectant sa plate-forme de gestion de cloud (CMP), VMware Aria, qui pourrait permettre aux attaquants de voler des informations d’identification sensibles des solutions de gestion informatique et de journalisation du géant de la virtualisation.
La société mère Broadcom, dans un avis publié jeudi, a révélé que deux vulnérabilités récemment révélées sont des défauts de divulgation d’informations sur les opérations VMware Aria et les opérations ARIA VMware pour les composants des journaux, respectivement.
« De multiples vulnérabilités dans les opérations ARIA VMware pour les journaux et les opérations VMware Aria ont été signalées en privé à VMware », a déclaré Broadcom dans l’avis. «Des correctifs sont disponibles pour résoudre ces vulnérabilités dans les produits VMware affectés.»
VMware Cloud Foundation (VCF), l’offre complète de VMware pour le déploiement et la gestion des infrastructures cloud hybrides, souffre également de ces bogues à mesure que VMware Aria s’intègre fortement à lui pour fournir une gestion du cloud et des informations opérationnelles pour les infrastructures construites.
Fuite des informations d’identification possible
L’un des bogues (CVE-2025-22218) affectant les opérations ARIA VMware pour les journaux, la solution axée sur la collecte de journaux, l’analyse en temps réel, le dépannage et la détection des événements de sécurité, se voit attribuer une note CVSS très sévère de 8,5 / 10 pour son Exploitabilité à faible privilège qui peut entraîner une divulgation des informations d’identification.
« Un acteur malveillant avec vue uniquement les autorisations d’administration peut être en mesure de lire les informations d’identification d’un produit VMware intégré aux opérations VMware Aria pour les journaux », a déclaré Broadcom.
Un bogue similaire (CVE-2025-22222), dans le sens où il nécessite un faible privilège pour l’exploitation, affecte les opérations de VMware Aria, responsables de la surveillance des infrastructures, de l’optimisation des performances, de la planification des capacités, de l’automatisation et de la gestion des coûts, et a été attribué à un CVSS 7.7 / 10.
« Un utilisateur malveillant avec des privilèges non administratifs peut exploiter cette vulnérabilité pour récupérer les informations d’identification pour un plugin sortant si un identifiant de service de service valide est connu », a ajouté Broadcom dans l’avis.
Les défauts auraient un impact sur les opérations VMware Aria pour les journaux version 8.x, VMware Aria Operations version 8.x et VCF versions 5.x et 4.x. Ils ont été fixés dans les opérations VMware Aria V8.18.3 et VMware Aria Operations for Logs V8.18.3, tandis que les utilisateurs sont invités à suivre KB92148 pour fixer les environnements VCF affectés.
Autres vulnérabilités d’escalade du CSS et des privilèges
VMware Aria Operations for Logs also contains a stored cross-site scripting vulnerability (CVE-2025-22219) with an important severity rating (CVSS 6.8/10) and a privilege escalation vulnerability (CVE-2025-22220) with a medium severity rating ( CVSS 4.3 / 10)
Un autre bogue de script inter-sites stocké (CVE-2025-22221) avec une cote de gravité modérée (5.2 / 10) affecte les opérations ARIA VMware pour les journaux et pourrait permettre aux acteurs ayant un privilège d’administration d’exécuter des scripts malveillants sur le navigateur de la victime.
Toutes ces vulnérabilités ont affecté les mêmes versions de VMware Aria Products et VCF que les défauts de divulgation d’informations et ont été fixées dans la même mise à jour. Le correctif est le seul moyen de résoudre le problème, car Broadcom a noté que «non» soit disponible pour eux.
