El 8 de juny de 2026 Broadcom va publicar l’avís de seguretat VMSA-2026-0004, que cobreix tres vulnerabilitats de cross-site scripting (XSS) emmagatzemat a VMware Cloud Foundation Operations (l’antic Aria Operations). Els identificadors són CVE-2026-41722, CVE-2026-41723 i CVE-2026-41724, i tots tres comparteixen la mateixa puntuació: CVSSv3 8.0, classificada per Broadcom com a severitat Important. Qui ho va reportar va ser l’Alexis Bernazzani, de Visa Inc.
Què és
Un XSS emmagatzemat vol dir que el codi maliciós queda desat a la mateixa plataforma i s’executa més tard, quan un altre usuari carrega la pàgina afectada. Aquí el punt d’entrada és a tres llocs concrets de la interfície de VMware Cloud Foundation Operations: la creació de polítiques, vistes i widgets de text. Un atacant amb permisos per crear qualsevol d’aquests elements pot injectar scripts que s’executen al navegador de qui els visualitza, inclòs el personal amb privilegis administratius.
A qui afecta
Per explotar-ho no n’hi ha prou amb ser a fora: cal un compte amb privilegis per crear polítiques, vistes o text-widgets dins de la plataforma. És a dir, és un atac d’usuari autenticat amb cert nivell d’accés, no un atacant anònim des d’Internet. Però en entorns on es delega l’operació a diversos equips, això redueix poc el risc: qualsevol d’aquests operadors podria escalar les seves accions a tasques administratives sobre la plataforma de virtualització.
Les versions afectades i les seves correccions, segons l’avís:
- VMware Cloud Foundation / vSphere Foundation 9.1.x.x → actualitzar a 9.1.0.0
- VMware Cloud Foundation / vSphere Foundation 9.0.x.x → actualitzar a 9.0.2.0 EP2
- VMware Aria Operations 8.x → 8.18.6 o 8.18.7
- VMware Cloud Foundation (Aria Operations) 5.x → 8.18.7
- VMware Telco Cloud Platform (Aria Operations) 5.x → consultar la KB443138
Si gestiones la capa de virtualització amb VMware ESXi i fas servir Cloud Foundation Operations per a monitoratge i polítiques, et toca.
Gravetat
El CVSS 8.0 és alt, però convé llegir-lo amb context. No és una execució remota sense autenticar: requereix un compte amb permisos de creació de contingut. El que és seriós és el que s’aconsegueix després. A través de l’script injectat, l’atacant pot executar accions administratives a la plataforma de virtualització aprofitant la sessió d’un administrador que carregui l’element enverinat. Això converteix un operador amb permisos limitats en algú capaç d’actuar com a administrador.
Mitigació
No hi ha solució alternativa. Broadcom ho diu de manera explícita a l’avís: per a aquestes tres vulnerabilitats no existeix cap workaround. L’única via és actualitzar a les versions corregides llistades més amunt.
Mentre planifiques l’actualització, val la pena revisar qui té permisos per crear polítiques, vistes i widgets de text, i reduir aquesta llista al mínim. No corregeix l’error, però limita qui podria aprofitar-lo. Si vols ordenar la resta d’avisos del mes, tens un repàs a les novetats al nostre article sobre els avisos de seguretat de Xen XSA-491 a XSA-494, que van sortir l’endemà.