Den 8 juni 2026 publicerade Broadcom en ny säkerhetsrådgivning (VMSA‑2026‑0004) som berör flera produkter inom VMware‑portföljen. Rådgivningen beskriver tre allvarliga sårbarheter – CVE‑2026‑41722, CVE‑2026‑41723 och CVE‑2026‑41724 – som alla klassas med CVSS‑poäng 8.0, vilket innebär hög allvarlighetsgrad.
Vad handlar sårbarheterna om?
Broadcom bekräftar att VMware Cloud Foundation Operations och flera relaterade produkter innehåller lagrade cross‑site scripting‑sårbarheter (Stored XSS).
Det innebär att en användare med tillräckliga rättigheter – exempelvis någon som kan skapa policies, vyer eller text‑widgets – kan injicera skadlig kod som sedan körs i administratörens webbläsare. I värsta fall kan detta leda till att angriparen utför administrativa åtgärder utan tillstånd.
Påverkade produkter
Enligt rådgivningen berörs bland annat:
- VMware Cloud Foundation
- VMware Cloud Foundation Operations
- VMware vSphere Foundation
- VMware Aria Operations
- VMware Telco Cloud Platform
Samtliga sårbarheter är klassade som Important och saknar tillfälliga lösningar – patchning är alltså det enda sättet att åtgärda problemen.
Finns det patchar?
Ja. Broadcom har släppt uppdateringar för alla berörda produktversioner. Några exempel:
- Cloud Foundation Operations 9.1.x → Fast version: 9.1.0.0
- Cloud Foundation Operations 9.0.x → Fast version: 9.0.2.0 EP2
- Aria Operations 8.x → Fast versioner: 8.18.6 och 8.18.7
Organisationer bör omedelbart kontrollera vilken version de kör och uppdatera enligt Broadcoms rekommendationer.
Varför är detta viktigt?
Stored XSS‑sårbarheter är särskilt farliga eftersom de kan ligga kvar i systemet och aktiveras varje gång en administratör öppnar en manipulerad vy eller widget. I miljöer där VMware‑plattformen används för att hantera stora delar av infrastrukturen kan detta få omfattande konsekvenser.
Rekommendationer till organisationer
- Uppdatera berörda produkter så snart som möjligt.
- Granska interna behörigheter – minimera antalet användare som kan skapa policies och widgets.
- Övervaka loggar för ovanliga administrativa aktiviteter.
- Säkerställ att säkerhetsrutiner för webbaserade administrationsgränssnitt följs.