El 8 de junio de 2026 Broadcom publicó el aviso de seguridad VMSA-2026-0004, que cubre tres vulnerabilidades de cross-site scripting (XSS) almacenado en VMware Cloud Foundation Operations (el antiguo Aria Operations). Los identificadores son CVE-2026-41722, CVE-2026-41723 y CVE-2026-41724, y los tres comparten la misma puntuación: CVSSv3 8.0, clasificada por Broadcom como severidad Importante. El fallo lo reportó Alexis Bernazzani, de Visa Inc.
Qué es
Un XSS almacenado significa que el código malicioso queda guardado en la propia plataforma y se ejecuta más tarde, cuando otro usuario carga la página afectada. Aquí el punto de entrada está en tres sitios concretos de la interfaz de VMware Cloud Foundation Operations: la creación de políticas, vistas y widgets de texto. Un atacante con permisos para crear cualquiera de esos elementos puede inyectar scripts que se ejecutan en el navegador de quien los visualiza, incluido personal con privilegios administrativos.
A quién afecta
Para explotar esto no basta con estar fuera: hace falta una cuenta con privilegios para crear políticas, vistas o text-widgets dentro de la plataforma. Es decir, es un ataque de usuario autenticado con cierto nivel de acceso, no un atacante anónimo desde Internet. Pero en entornos donde se delega la operación a varios equipos, eso reduce poco el riesgo: cualquiera de esos operadores podría escalar sus acciones a tareas administrativas sobre la plataforma de virtualización.
Las versiones afectadas y sus correcciones, según el aviso:
- VMware Cloud Foundation / vSphere Foundation 9.1.x.x → actualizar a 9.1.0.0
- VMware Cloud Foundation / vSphere Foundation 9.0.x.x → actualizar a 9.0.2.0 EP2
- VMware Aria Operations 8.x → 8.18.6 o 8.18.7
- VMware Cloud Foundation (Aria Operations) 5.x → 8.18.7
- VMware Telco Cloud Platform (Aria Operations) 5.x → consultar la KB443138
Si gestionas la capa de virtualización con VMware ESXi y usas Cloud Foundation Operations para monitorización y políticas, te toca.
Gravedad
El CVSS 8.0 es alto, pero conviene leerlo con contexto. No es una ejecución remota sin autenticar: requiere una cuenta con permisos de creación de contenido. Lo serio es lo que se consigue después. A través del script inyectado, el atacante puede ejecutar acciones administrativas en la plataforma de virtualización aprovechando la sesión de un administrador que cargue el elemento envenenado. Eso convierte a un operador con permisos limitados en alguien capaz de actuar como administrador.
Mitigación
No hay solución alternativa. Broadcom lo dice de forma explícita en el aviso: para estas tres vulnerabilidades no existe workaround. La única vía es actualizar a las versiones corregidas listadas arriba.
Mientras planificas la actualización, conviene revisar quién tiene permisos para crear políticas, vistas y widgets de texto, y reducir esa lista al mínimo. No parchea el fallo, pero limita quién podría aprovecharlo. Si quieres ordenar el resto de avisos del mes, tienes un repaso a las novedades en nuestro artículo sobre los avisos de seguridad de Xen XSA-491 a XSA-494, que salieron al día siguiente.