Como as falhas funcionam
A Broadcom divulgou três vulnerabilidades de cross-site scripting armazenado no VMware Cloud Foundation Operations, rastreadas como CVE-2026-41722, CVE-2026-41723 e CVE-2026-41724. Com CVSS 8.0, as falhas permitem que atacantes autenticados injetem scripts maliciosos e sequestrem sessões de administradores. O advisory VMSA-2026-0004, publicado em 8 de junho de 2026, não disponibiliza workarounds.
As três vulnerabilidades residem em componentes do VCF Operations que processam entradas fornecidas por usuários nas interfaces de gerenciamento. A validação inadequada de entrada e a codificação de saída deficientes permitem que atores maliciosos armazenem payloads de JavaScript dentro da plataforma. Quando acessados por usuários privilegiados, incluindo administradores, os scripts são executados no contexto da sessão do navegador.
Diferente do XSS refletido, que exige interação repetida do usuário, o XSS armazenado cria um vetor persistente. Basta que o payload seja inserido uma única vez para que todo administrador que acesse a interface comprometida execute o código malicioso automaticamente. Em ambientes com múltiplos administradores, a superfície de ataque se expande consideravelmente.
Produtos afetados pela falha
| CVE | Vetor de ataque | Impacto principal |
|---|---|---|
| CVE-2026-41722 | Criação de políticas no VCF Operations | Execução de script em contexto administrativo |
| CVE-2026-41723 | Criação de visualizações (views) | Hijacking de sessão e roubo de tokens |
| CVE-2026-41724 | Inserção em widgets de texto | Manipulação de configurações e persistência |
As falhas afetam VMware Cloud Foundation Operations e produtos integrados ao ecossistema VMware, incluindo vCenter e fluxos de automação em nuvem. A exploração pode gerar efeitos cascata em ambientes híbridos e multi-cloud, onde o VCF Operations atua como plano de controle centralizado — reforçando a necessidade de monitoramento contínuo de logs em ambientes corporativos.
Riscos para ambientes corporativos
A exploração bem-sucedida permite sequestrar sessões autenticadas, roubar tokens sensíveis, manipular configurações do ambiente virtualizado e pivotearem para a infraestrutura subjacente. Atacantes podem encadear essas falhas com outras vulnerabilidades ou misconfigurações para escalar privilégios e manter persistência no ambiente.
Plataformas de gerenciamento centralizado como o VCF Operations são alvos de alto valor porque concentram acesso administrativo a múltiplos componentes de infraestrutura. Um único payload XSS armazenado pode comprometer dezenas de administradores simultaneamente, ampliando significativamente o alcance do ataque.
Proteção contra os exploits
- Aplicar imediatamente as atualizações de segurança do VMSA-2026-0004 — não existem workarounds
- Revisar controles de acesso às interfaces do VCF Operations, restringindo privilégios ao mínimo necessário
- Monitorar logs de atividade para identificar execução de scripts não autorizados ou comportamento anômalo de sessão
- Implementar regras de Web Application Firewall (WAF) como camada adicional, sem substituir o patch do vendor
- Reforçar a validação de entrada em integrações customizadas com o ecossistema VMware