- Advisory ID: VMSA-2026-0001
- CVSSv3 Range: 6.2 – 8.1
- Issue Date: 24 Şubat 2026
- Updated On: 24 Şubat 2026
- CVE-2026-22719, CVE-2026-22720, CVE-2026-22721
- VMware Aria Operations ürününde tespit edilen command injection, stored XSS ve privilege escalation zafiyetlerine ilişkin güvenlik güncellemesi. CVSS skorları 6.2 ile 8.1 arasında değişen üç kritik güvenlik açığı için patch ve workaround çözümleri yayınlandı.
VMSA-2026-0001’de Etkilenen Ürünler
- VMware Aria Operations
- VMware Cloud Foundation
- VMware Telco Cloud Platform
- VMware Telco Cloud Infrastructure
Broadcom, 24 Şubat 2026 tarihinde VMware Aria Operations için VMSA-2026-0001 güvenlik duyurusunu yayınladı. Bu duyuru, VMware Aria Operations ürününde tespit edilen üç ayrı güvenlik açığını ele alıyor. Zafiyetler command injection, stored cross-site scripting (XSS) ve privilege escalation kategorilerinde bulunuyor.
1. CVE-2026-22719: Command Injection Zafiyeti
Açıklama: VMware Aria Operations’da command injection zafiyeti bulunuyor. Kimlik doğrulaması yapmamış kötü niyetli bir aktör, destek destekli ürün migrasyonu devam ederken bu açığı kullanarak rastgele komutlar çalıştırabilir ve bu durum VMware Aria Operations’da uzaktan kod çalıştırılmasına yol açabilir.
Önem Derecesi: Yüksek (CVSSv3: 8.1)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
2. CVE-2026-22720: Stored Cross-Site Scripting (XSS) Zafiyeti
Açıklama: VMware Aria Operations’da stored XSS zafiyeti mevcut. Özel benchmark oluşturma yetkisine sahip kötü niyetli bir aktör, VMware Aria Operations’da yönetici işlemleri gerçekleştirmek için script enjekte edebilir.
Önem Derecesi: Yüksek (CVSSv3: 8.0)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
3. CVE-2026-22721: Privilege Escalation Zafiyeti
Açıklama: VMware Aria Operations’da yetki yükseltme zafiyeti tespit edildi. vCenter’da Aria Operations’a erişim yetkisi olan kötü niyetli bir aktör, bu zafiyeti kullanarak VMware Aria Operations’da yönetici erişimi elde edebilir.
Önem Derecesi: Orta (CVSSv3: 6.2)
Çözüm: Response Matrix’te belirtilen yamaları uygulayın.
Response Matrix:
| VMware Product | Component | Version | Running On | CVE | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
|---|---|---|---|---|---|---|---|---|---|
| VMware Cloud Foundation,VMware vSphere Foundation | vCenter | 9.x.x.x | Any | CVE-2025-41250 | 8.5 | Important | 9.0.1.0 | None | None |
| VMware vCenter | N/A | 8.0 | Any | CVE-2025-41250 | 8.5 | Important | 8.0 U3g | None | None |
| VMware vCenter | N/A | 7.0 | Any | CVE-2025-41250 | 8.5 | Important | 7.0 U3w | None | |
| VMware Cloud Foundation | vCenter | 5.x | Any | CVE-2025-41250 | 8.5 | Important | 5.2.2 | None | Async Patching Guide: KB88287 |
| VMware Cloud Foundation | vCenter | 4.5.x | Any | CVE-2025-41250 | 8.5 | Important | Async patch to 7.0 U3w | None | Async Patching Guide: KB88287 |
| VMware Telco Cloud Platform | vCenter | 5.x, 4.x, 3.x, 2.x | Any | CVE-2025-41250 | 8.5 | Important | KB411508 | None | None |
| VMware Telco Cloud Infrastructure | vCenter | 3.x, 2.x | Any | CVE-2025-41250 | 8.5 | Important | KB411508 | None | None |
2. VMSA-2025-0016 – CVE-2025-41251 – NSX Zayıf Şifre Kurtarma Mekanizması
Etkilenen Ürün: VMware NSX
Önem Derecesi: Yüksek (CVSSv3: 8.1)
Açıklama: VMware NSX’te zayıf şifre kurtarma mekanizması açığı bulunmaktadır. Support Content Notification – Support Portal – Broadcom support portal
Saldırı Vektörü: Kimlik doğrulaması yapılmamış kötü niyetli bir saldırgan, bu açığı kullanarak geçerli kullanıcı adlarını numaralandırabilir ve bu da potansiyel olarak brute-force saldırılarına yol açabilir. Support Content Notification – Support Portal – Broadcom support portal
3. VMSA-2025-0016 – CVE-2025-41252 – NSX Kullanıcı Adı Numaralandırma Açığı
Etkilenen Ürün: VMware NSX
Önem Derecesi: Yüksek (CVSSv3: 7.5)
Açıklama: VMware NSX’te kullanıcı adı numaralandırma açığı bulunmaktadır. Support Content Notification – Support Portal – Broadcom support portal
Saldırı Vektörü: Kimlik doğrulaması yapılmamış saldırgan, sistemdeki geçerli kullanıcı adlarını tespit edebilir.
Response Matrix:
| Product | Component | Version | Running On | CVE | CVSSv3 | Severity | Fixed Version | Workaround | Additional Documents |
| VMware Cloud FoundationVMware vSphere Foundation | VMware Cloud Foundation Operations | 9.x.x.x | Any | CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 | 8.1, 8.0, 6.2 | Important | 9.0.2.0 | KB430349(CVE-2026-22719) | None |
| VMware Aria Operations | N/A | 8.x | Any | CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 | 8.1, 8.0, 6.2 | Important | 8.18.6 | KB430349(CVE-2026-22719) | None |
| VMware Cloud Foundation | VMware Aria Operations | 5.x, 4.x | Any | CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 | 8.1, 8.0, 6.2 | Important | KB92148 | KB430349(CVE-2026-22719) | None |
| VMware Telco Cloud Platform | VMware Aria Operations | 5.x, 4.x | Any | CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 | 8.1, 8.0, 6.2 | Important | KB428241 | KB430349(CVE-2026-22719) | None |
| VMware Telco Cloud Infrastructure | VMware Aria Operations | 3.x, 2.x | Any | CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 | 8.1, 8.0, 6.2 | Important | KB428241 | KB430349(CVE-2026-22719) | None |
Güncelleme Bilgileri
VMware Cloud Foundation Operations 9.0.2.0
Release Notes: VMware Cloud Foundation 9.0.2 Release Notes
İndirme: Broadcom Support Portal
VMware vSphere Foundation 9.0.2.0-VCF Operations
Release Notes: VMware Cloud Foundation 9.0.2 Release Notes
İndirme: Broadcom Support Portal
VMware Aria Operations 8.18.6
Release Notes: VMware Aria Operations 8.18.6 Release Notes
İndirme: Broadcom Support Portal
Öneriler
- Acil Güncelleme: Etkilenen tüm sistemlerde Response Matrix’te belirtilen versiyonlara güncelleme yapılması önerilir.
- Workaround Uygulama: Hemen güncelleme yapılamıyorsa, CVE-2026-22719 için KB430349’da belirtilen workaround adımları uygulanmalıdır.
- Erişim Kontrolü: CVE-2026-22720 ve CVE-2026-22721 için güncelleme yapılıncaya kadar özel benchmark oluşturma ve vCenter erişim yetkilerinin gözden geçirilmesi faydalı olacaktır.
- Migrasyon Süreçleri: CVE-2026-22719 nedeniyle destek destekli ürün migrasyonu süreçlerinde ekstra dikkatli olunmalıdır.
Referanslar
- VMSA-2026-0001 Resmi Duyuru
- CVE-2026-22719 Detayları
- CVE-2026-22720 Detayları
- CVE-2026-22721 Detayları
- VMware Security Advisories
- VMware Security Blog
Son yazılar için;
ESXTOP Kullanım Rehberi: VMware Performans İzleme ve Analiz
Anthropic Academy Nedir? Ücretsiz Claude AI Eğitimleri ve Sertifika Programları
Claude Code’un Yaratıcısından: Profesyonel Kullanım Rehberi
Sistem Güncellemeleri: Canberk’in 2025 Yama Notları
HPE Synergy 12000 Frame Kapsamlı Teknik İnceleme
