Broadcom ha reportado tres vulnerabilidades de Cross-Site Scripting almacenadas (XSS) en VMware Cloud Foundation Operations y productos asociados de Broadcom, permitiendo a atacantes autenticados inyectar scripts maliciosos para realizar acciones administrativas. Identificadas como CVE-2026-41722, CVE-2026-41723 y CVE-2026-41724, con una puntuación CVSSv3 base de 8.0, estas fallas requieren que los atacantes tengan privilegios para crear políticas o widgets. La persistencia del código malicioso incrementa el riesgo en plataformas de infraestructura virtualizada.
CVE y severidad
- CVE-2026-41722: Stored XSS en VMware Cloud Foundation Operations y productos relacionados, CVSSv3 base score 8.0, severidad importante.
- CVE-2026-41723: Stored XSS con impacto similar, CVSSv3 base score 8.0, severidad importante.
- CVE-2026-41724: Stored XSS persistente, CVSSv3 base score 8.0, severidad importante.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | CVEs atendidos | Versión corregida |
|---|---|---|---|---|---|
| Broadcom | VMware Cloud Foundation / vSphere Foundation | VMware Cloud Foundation Operations | 9.1.x.x | CVE-2026-41722, CVE-2026-41723 | 9.1.0.0 |
| Broadcom | VMware Cloud Foundation / vSphere Foundation | VMware Cloud Foundation Operations | 9.0.x.x | CVE-2026-41722, CVE-2026-41723 | 9.0.2.0 EP2 |
| Broadcom | VMware Aria Operations | N/A | 8.x | CVE-2026-41722, CVE-2026-41723 | 8.18.7 |
| Broadcom | VMware Cloud Foundation / VMware Telco Cloud Platform | VMware Aria Operations | 5.x | CVE-2026-41722, CVE-2026-41723, CVE-2026-41724 | 8.18.7 / KB443138 |
Solución
Actualizar a las versiones corregidas listadas en el aviso de seguridad VMSA-2026-0004.
Recomendaciones
Priorizar la aplicación de parches sin demoras y revisar los permisos asignados para la creación de políticas, vistas y widgets de texto para limitar los usuarios que pueden explotar estas vulnerabilidades durante el despliegue de actualizaciones.