米サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は、VMware Aria Operationsで見つかった脆弱性「CVE-2026-22719」が実際の攻撃で悪用されたことを確認した。これを受け、同脆弱性を既知の悪用脆弱性（KEV）リストに追加した。

Dark Readingが5日付で報じた。CVE-2026-22719はCVSSスコア8.1のコマンドインジェクションの脆弱性で、VMware Aria Operations 8.18.6未満に影響する。

VMwareの親会社Broadcomはアドバイザリで認証を受けていない攻撃者がこの脆弱性を悪用すると任意のコマンドを実行でき、製品サポート用の移行プロセス中にリモートコード実行につながる可能性があると説明している。

この脆弱性は2月24日、他の2件の欠陥とあわせて公表された。あわせて公開されたのは、クロスサイトスクリプティングの脆弱性「CVE-2026-22720」（CVSS 8.0）と、権限昇格の脆弱性「CVE-2026-22721」（CVSS 6.2）だ。

その後、CISAは3日にCVE-2026-22719をKEVリストへ追加した。同日、Broadcomもアドバイザリを更新し、実環境で悪用されたとの報告は認識しているものの、自社では確認できていないとした。

影響を受けるのは、8.x系では8.18.5以前の全バージョン、9.x系では9.0.1以前の全バージョン。Broadcomは、直ちにパッチを適用できないユーザー向けに、スクリプト形式の暫定回避策も案内している。

セキュリティ企業Black Duckでソリューション管理担当シニアディレクターを務めるコリン・ホグ＝スピアーズ氏は、今回の脆弱性について、仮想インフラ全体が一気に侵害されかねないリスクがあると警鐘を鳴らした。同氏は、攻撃者がAria Operationsを掌握すれば、サーバー1台を乗っ取るのではなく、Aria Operationsが管理するシステム群のアカウント情報やネットワーク構成をまとめて手にすることになりかねないと指摘した。