[TLP:CLEAR] VMware opravuje 3 zranitelnosti ve svých produktech
VMware opravuje 3 zranitelnosti ve svých produktech, které obsahují komponenty VMware Cloud Foundation Operations a VMware Aria Operations [1]. V případě VMware Telco Cloud Platform postupujte dle KB443138 [2]. Produkty a jejich opravené verze [1]: VMware Cloud Foundation - 9.1.0.0, 9.0.2.0 EP2, 8.18.7, VMware vSphere Foundation - 9.1.0.0, 9.0.2.0 EP2, VMware Aria Operations - 8.18.7.
Autentizovanému vzdálenému útočníkovi s oprávněním vytvářet politiky, pohledy nebo textové widgety je kvůli více uloženým zranitelnostem typu cross-site scripting (XSS) umožněno vložit libovolné skripty a jejich prostřednictvím provádět administrátorské akce [1].
Zranitelnost se nachází v produktech:
- VMware Cloud Foundation ve verzích (>=9.1 AND <9.1.0.0) OR (>=9.0 AND <9.0.2.0 EP2) OR (>=5.0 AND <8.18.7)
- VMware vSphere Foundation ve verzích (>=9.1 AND <9.1.0.0) OR (>=9.0 AND <9.0.2.0 EP2)
- VMware Aria Operations ve verzích >=8.0 AND <8.18.7
- VMware Telco Cloud Platform
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-41722 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-41723 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-41724 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 6. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 9. 6. 2026.
