Aanvallers maken actief misbruik van een kwetsbaarheid in VMware Aria Operations die remote code execution door ongeauthenticeerde aanvallers mogelijk maakt, zo laat het Amerikaanse cyberagentschap CISA weten. Broadcom kwam op 24 februari met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-22719. Het gaat om een command injection kwetsbaarheid waardoor een aanvaller tijdens productmigraties willekeurige commando's op het systeem kan uitvoeren, die tot remote code execution kunnen leiden.

Broadcom omschrijft Aria Operations als het "controlecentrum voor de gehele it-infrastructuur". Het wordt onder andere gebruikt voor het beheren en monitoren van VMware- en multi-cloud-omgevingen. Volgens het Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security maken aanvallers actief misbruik van CVE-2026-22719.. Details over de aanvallen zijn echter niet gegeven.

In het verleden is VMware Aria Operations vaker het doelwit van aanvallen geweest, waarbij andere kwetsbaarheden werden misbruikt (CVE-2025-41244 en CVE-2023-20887). Zo zou CVE-2025-41244 een jaar lang bij aanvallen zijn misbruikt voordat een beveiligingsupdate voor het probleem verscheen. Die aanvallen zouden het werk zijn geweest van een aan China gelieerde groep aanvallers.