Broadcom hat mehrere Sicherheitslücken im VMware Avi Load Balancer geschlossen. Die schwerwiegendste ermöglicht es Angreifern mit Netzwerkzugang zum Avi-Controller, den Authentifizierungsmechanismus vollständig zu umgehen.
Kritische und hochriskante CVEs
Die gefährlichste Schwachstelle (CVE-2026-47865, CVSS 9.8) wird als kritisch eingestuft. Bösartige Akteure mit Netzwerkzugriff auf die Avi-Controller-Oberfläche können die Anmeldung schlicht überspringen. Broadcom hält sich in seiner Sicherheitsmitteilung bedeckt, wie der Angriff genau funktioniert.
Daneben gibt es weitere hochriskante Lücken: Eine Directory-Traversal-Schwachstelle (CVE-2026-47871, CVSS 8.8) und eine Codeschmuggel-Lücke im Avi-Controller (CVE-2026-47867, CVSS 8.7) gefährden ebenfalls die Systemsicherheit. Auch angemeldete Nutzer können Schadcode einschleusen und ausführen (CVE-2026-47869, CVSS 8.7). Hinzu kommen unbefugter Zugriff auf Controller-Einstellungen (CVE-2026-47866, CVSS 8.3) sowie eine Privilege-Escalation, die lokalen Nutzern die Ausführung von Code als Root ermöglicht (CVE-2026-47868, CVSS 7.8). Eine weitere Variante betrifft eingeloggte Angreifer über das Netz (CVE-2026-47870, CVSS 7.1).
Verfügbare Updates
Broadcom stellt Fixes in mehreren Entwicklungszweigen bereit. Gepatcht sind VMware Avi Load Balancer 32.1.2, 31.2.2-2p3 und 30.2.7. Wer noch Versionen zwischen 22.1.1 und 22.1.7 einsetzt, sollte auf 30.2.7 migrieren. Das Update sollte zeitnah eingespielt werden.