La agencia estadounidense de seguridad cibernética CISA ha incluido esta semana en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) una falla grave que afecta a productos de Broadcom/VMware, en particular a VMware Aria Operations. Se trata de una vulnerabilidad identificada como CVE-2026-22719 con una puntuación CVSS de 8.1, y según CISA su inclusión en el catálogo obedece a indicios de explotación activa en entornos reales (alerta de CISA).
En términos sencillos, la falla permite una inyección de comandos que podría ser aprovechada por un atacante sin necesidad de autenticarse para ejecutar órdenes arbitrarias en Aria Operations, particularmente durante procesos de migración asistida por soporte. Una vulnerabilidad de este tipo abre la puerta a ejecución remota de código, algo que en entornos de gestión y monitorización puede derivar en control administrativo y acceso a datos sensibles de la infraestructura virtualizada.
Broadcom publicó un aviso técnico en el que reconoce la existencia del problema y describe las versiones afectadas, así como las correcciones disponibles. Los productos señalados incluyen instancias de VMware Cloud Foundation y VMware vSphere Foundation 9.x, y VMware Aria Operations 8.x; las soluciones están ya distribuidas en parches concretos —por ejemplo, las ramas 9.x y 8.x reciben actualizaciones que corrigen estas debilidades—. Puede consultarse el comunicado oficial de Broadcom con los detalles y las versiones corregidas en su página de soporte (aviso de Broadcom).
Junto a CVE-2026-22719 Broadcom resolvió otros dos fallos relacionados: CVE-2026-22720, que corresponde a un XSS almacenado, y CVE-2026-22721, que permite escalada de privilegios y podría terminar en acceso administrativo. La combinación de inyección de comandos, XSS y escalada de privilegios en un mismo ecosistema aumenta significativamente el riesgo operativo, porque un vector inicial relativamente sencillo puede encadenarse para comprometer por completo una plataforma.
Entidades que no puedan aplicar los parches inmediatamente cuentan con una medida temporal propuesta por el proveedor: Broadcom publicó un script de mitigación ("aria-ops-rce-workaround.sh") que debe descargarse y ejecutarse como root en cada nodo de la máquina virtual de Aria Operations. Esa solución interina está pensada para reducir la superficie explotable hasta que se instale la corrección definitiva; la guía y el enlace de descarga están disponibles en la base de conocimiento del fabricante (artículo de Broadcom).
Por ahora no hay información pública detallada sobre las técnicas concretas que usan los atacantes, ni sobre la magnitud o el origen de las campañas que estarían aprovechando esta vulnerabilidad. Broadcom indicó que, aunque han recibido reportes que apuntan a explotación real, no han podido verificar de forma independiente la validez de todos esos avisos. Aun así, el hecho de que CISA haya añadido la entrada al catálogo KEV implica que los indicios de riesgo han sido considerados suficientemente serios como para recomendar una actuación urgente por parte de administradores y responsables de seguridad.
En cuanto a obligaciones regulatorias y de cumplimiento, la inclusión en el catálogo de CISA conlleva plazos: las agencias federales civiles de EE. UU. (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026. Ese tipo de exigencias suele anticipar recomendaciones prácticas para el resto de organizaciones: actualizar cuanto antes, o segregar y mitigar mientras se parchea.
Si gestionas instancias de VMware Aria Operations o las plataformas relacionadas, las prioridades son claras. En primer lugar, revisar los avisos oficiales del proveedor y descargar las versiones que corrigen las fallas; en segundo lugar, si no es posible parchear de inmediato, implementar la mitigación temporal que ofrece Broadcom ejecutando el script en cada nodo de la appliance; y en paralelo, endurecer controles de red y monitorización para detectar actividad anómala. También es recomendable revisar y filtrar los accesos administrativos, analizar logs en busca de indicadores de compromiso y, si se detectan trazas de explotación, activar los procesos de respuesta a incidentes.
Además de seguir las instrucciones del proveedor, resulta útil mantener una vigilancia estrecha sobre información de fuentes oficiales sobre la evolución del caso. La entrada en el catálogo de vulnerabilidades conocidas de CISA puede consultarse en su página de KEV (catálogo KEV de CISA), y el identificador del fallo ofrece un punto de referencia para correlacionar reportes y firmas en herramientas de gestión de vulnerabilidades (registro CVE). También es aconsejable visitar la web de VMware sobre Aria Operations para comprender el contexto funcional de la plataforma y evaluar el impacto en los flujos operativos (página de producto de VMware Aria Operations).
En definitiva, aunque algunos detalles técnicos y la escala exacta de los ataques siguen sin estar completamente claros, la recomendación es inequívoca: no demorar las actualizaciones y aplicar las medidas temporales de mitigación si el parche no puede instalarse de inmediato. La combinación de una vulnerabilidad con posible explotación activa, afectación a componentes de gestión y la existencia de vectores auxiliares exige una respuesta rápida y coordinada por parte de equipos de TI y seguridad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Fox Tempest expone la fragilidad de la firma digital en la nube
La revelación de Microsoft sobre la operación de "malware-signing-as-a-service" conocida como Fox Tempest vuelve a poner en el centro la vulnerabilidad más crítica del ecosistem...
Trapdoor: la operación de malvertising que convirtió apps Android en una fábrica automática de ingresos ilícitos
Investigadores de ciberseguridad han descubierto una operación de malvertising y fraude publicitario móvil bautizada como Trapdoor, que convierte instalaciones legítimas de apli...
Del aviso a la acción orquestación e IA para acelerar la respuesta ante incidentes de red
Los equipos de TI y de seguridad viven una realidad conocida: un aluvión constante de alertas que llega desde plataformas de monitorización, sistemas de infraestructura, servici...
Nx Console en jaque: cómo una extensión de productividad se convirtió en un robo de credenciales y una amenaza para la cadena de suministro
Un ataque dirigido a desarrolladores volvió a poner en evidencia la fragilidad de la cadena de suministro del software: la extensión Nx Console para editores como Visual Studio ...