Broadcom提醒用户应用补丁以修复VMware云管理工具中的严重漏洞

关键要点

• VMware修复了影响其云管理平台VMware Aria的多个高危漏洞，这些漏洞可能导致敏感凭证被攻击者窃取。
• Broadcom透露，最近披露的五个漏洞中有两个属于高危信息泄露缺陷。
• 已发布补丁以解决这些漏洞，建议用户尽快更新。


来源：Michael Vi / Shutterstock

VMware公司修复了多个影响其云管理平台（CMP）VMwareAria的高风险漏洞，这些漏洞可能允许攻击者从该虚拟化巨头的IT管理和日志解决方案中窃取敏感凭证。母公司Broadcom在周四发布的中指出，最近披露的五个漏洞中有两个是“高危”的信息泄露缺陷，分别影响VMwareAria Operations和VMware Aria Operations for Logs组件。

“多个漏洞在VMware Aria Operations for Logs和VMware Aria Operations中被私下报告给VMware，”Broadcom在公告中提到。“修复这些漏洞的补丁已在受影响的VMware产品中发布。”

VMware Cloud Foundation（VCF），即VMware综合的混合云基础设施部署和管理解决方案，同样受这些漏洞影响，因为VMwareAria与其高度集成，以提供云管理和基础设施的运营洞察。

凭证泄露的风险

影响VMware Aria Operations forLogs的一个漏洞（CVE-2025-22218）专注于日志收集、实时分析、故障排除和安全事件检测，因其低权限的可利用性而被赋予了高危的CVSS评分8.5/10，这可能导致凭证泄露。

“具有仅查看管理员权限的恶意用户可能能够读取与VMware Aria Operations for Logs集成的VMware产品的凭证，”Broadcom表示。

另一个类似漏洞（CVE-2025-22222）同样需要低权限才能利用，影响负责基础设施监控、性能优化、容量规划、自动化和成本管理的VMware AriaOperations，并被赋予了CVSS 7.7/10的评分。

“拥有非管理权限的恶意用户可能会利用此漏洞，通过已知的有效服务凭证ID检索外部插件的凭证，”Broadcom在公告中补充道。

这些缺陷显然影响VMware Aria Operations for Logs版本8.x、VMware AriaOperations版本8.x以及VCF版本5.x和4.x。相关问题已经在VMware Aria Operations v8.18.3和VMwareAria Operations for Logsv8.18.3中修复，用户被建议按照的指引修复受影响的VCF环境。

其他CSS和特权提升漏洞

VMware Aria Operations for Logs还包含一个存储型跨站脚本漏洞（CVE-2025-22219），其重要性评级为CVSS6.8/10，以及一个中等严重性的特权提升漏洞（CVE-2025-22220），其评级为CVSS 4.3/10。

另一个存储型跨站脚本漏洞（CVE-2025-22221）同样影响VMware Aria Operations forLogs，其程度评级为中等（5.2/10），可能允许具有管理权限的用户在受害者的浏览器上执行恶意脚本。

所有这些漏洞与信息泄露缺陷影响相同的VMwareAria产品和VCF版本，并在相同的更新中得到修复。Broadcom指出，补丁是解决这些问题的唯一方式，并表示“没有”可用的临时解决方案。