Qué es CVE-2026-22719
CVE-2026-22719 es una vulnerabilidad de inyección de comandos del sistema operativo en VMware Aria Operations, la plataforma de monitorización y gestión de operaciones de Broadcom que antes se llamaba vRealize Operations. El fallo deja que un atacante no autenticado ejecute comandos arbitrarios en el servidor. De ahí puede llegar a ejecución remota de código (RCE) y, con eso, al compromiso total de la instancia.
Broadcom precisa en su descripción oficial cuándo se puede explotar: mientras hay en curso una migración del producto asistida por soporte (“support-assisted product migration”). En ese proceso una entrada que controla el atacante no se sanea como debería y acaba ejecutándose como comando en el sistema subyacente.
A quién afecta
A las organizaciones que usan VMware Aria Operations (Broadcom). Aria Operations suele desplegarse en entornos de virtualización corporativos para supervisar el rendimiento, la capacidad y la salud de infraestructuras vSphere. Comprometer esta pieza le da al atacante una posición privilegiada dentro del centro de datos.
El aviso de Broadcom (VMSA-2026-0001) reúne este fallo con otras dos vulnerabilidades corregidas en la misma tanda, identificadas como CVE-2026-22720 y CVE-2026-22721.
Gravedad
Broadcom sitúa el problema en el rango de severidad “Important”, con una puntuación máxima CVSS v3 de 8.1 (alta). Esa nota viene de tres factores que se juntan: vector de red, ausencia de autenticación y la posibilidad de conseguir ejecución de código en el servidor.
Lo que más pesa es que no es un riesgo teórico: el fallo se ha usado en ataques reales. Broadcom dijo tener constancia de informes de posible explotación en la naturaleza, aunque no podía confirmar su validez por su cuenta. La confirmación llegó por CISA, que añadió CVE-2026-22719 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 3 de marzo de 2026 y marcó el 24 de marzo de 2026 como fecha límite de remediación para las agencias federales estadounidenses.
Mitigación y parche
Broadcom publicó las correcciones el 24 de febrero de 2026 con el aviso VMSA-2026-0001. Esto es lo que recomienda hacer:
- Aplica el parche que corresponda a tu versión, según la columna “Fixed Version” de la matriz de respuesta (Response Matrix) del aviso oficial de Broadcom.
- Si no puedes parchear ya, aplica el workaround temporal que documenta la columna “Workarounds” de esa misma matriz.
- Trata la migración asistida como una ventana sensible: como la condición se dispara durante migraciones asistidas por soporte, coordina y vigila de cerca esos procesos hasta que tengas el parche puesto.
- Restringe el acceso de red a la interfaz de Aria Operations y revisa los registros buscando comandos anómalos.
Con un fallo que se explota activamente y figura en el catálogo KEV de CISA, lo sensato es parchear con prioridad sin esperar a la fecha límite oficial.