Thought Leadership
Broadcom hat mehrere Sicherheitsupdates für die VMware-Produkte Aria Operations und Aria Operations for Logs veröffentlicht. Die Patches beheben insgesamt fünf Schwachstellen, von denen einige als kritisch eingestuft wurden. Eine der Lücken ermöglicht es Angreifern mit eingeschränkten Zugriffsrechten, Zugangsdaten zu kompromittieren.
Die schwerwiegendste Schwachstelle (CVE-2025-22218) wurde mit einem CVSS-Score von 8,5 bewertet. Sie ermöglicht es Angreifern mit View-Only-Admin-Rechten, Zugangsdaten von Produkten auszulesen, die mit VMware Aria Operations for Logs verbunden sind.
Eine weitere kritische Lücke (CVE-2025-22219, CVSS 6,8) ermöglicht nicht-privilegierten Nutzern das Einschleusen von schädlichem Code über einen Stored-XSS-Angriff, der dann mit Administrator-Rechten ausgeführt wird. Die API-Schwachstelle CVE-2025-22220 (CVSS 4,3) ermöglicht es nicht-privilegierten Nutzern, über die Aria Operations for Logs API administrative Aktionen auszuführen.
Die vierte Schwachstelle (CVE-2025-22221, CVSS 5,2) betrifft die Agent-Konfiguration: Administratoren von VMware Aria Operations for Logs können hier schädlichen Code einschleusen, der im Browser des Opfers ausgeführt wird, sobald bestimmte Löschaktionen durchgeführt werden.
Die fünfte Schwachstelle (CVE-2025-22222) mit einem CVSS-Score von 7,7 ermöglicht es nicht-privilegierten Angreifern, Zugangsdaten für ein Outbound-Plugin abzurufen, sofern ihnen eine gültige Service-Credential-ID bekannt ist.
Entdeckt wurden die Sicherheitslücken vom Michelin CERT sowie dem Sicherheitsdienstleister Abicom. Dieselben Forscher hatten bereits Ende 2024 zwei weitere Sicherheitslücken in der Software gefunden.
Broadcom empfiehlt allen Nutzern von VMware Aria Operations und Aria Operations for Logs dringend das Update auf Version 8.18.3, das alle genannten Schwachstellen behebt. Nach Angaben des Unternehmens gibt es bislang keine Hinweise auf eine aktive Ausnutzung der Lücken.
Die Veröffentlichung folgt kurz auf eine weitere Warnung von Broadcom zu einer kritischen Schwachstelle im VMware Avi Load Balancer (CVE-2025-22217, CVSS 8,6), die Angreifern Datenbankzugriffe ermöglichen könnte.
