Fabricio Duarte

**Nome do Software Vulnerável e Versões Afetadas** CloudStack versão 4.20.0.0 **Descrição** O Plugin de Cota do CloudStack possui uma lógica de gerenciamento de privilégios inadequada. Qualquer usuário com acesso de conta autenticado em ambientes CloudStack onde este plugin está habilitado pode habilitar ou desabilitar o recebimento de e-mails relacionados à cota para qualquer conta e listar suas configurações. **Recomendações** Para a versão 4.20.0.0 do CloudStack, atualize para a versão 4.20.1.0 do CloudStack para corrigir este problema.

**Nome do software vulnerável e versões afetadas** Versões 4.10.0 a 4.19.1.0 do Apache CloudStack **Descrição** O problema é causado por uma falha na validação de permissões de acesso que permite que contas de administrador de domínio consultem todas as chaves API e secretas de usuários de contas registradas, incluindo as do administrador root. Isso pode ser explorado por um invasor com acesso de administrador de domínio para obter privilégios de administrador root e de outras contas, resultando em potencial comprometimento da integridade e confidencialidade dos recursos, perda de dados, negação de serviço e disponibilidade da infraestrutura gerenciada pelo CloudStack. **Recomendações** Para as versões do Apache CloudStack 4.10.0 a 4.19.1.0, atualize para o Apache CloudStack 4.18.2.3 ou 4.19.1.1, ou versões posteriores, que corrigem este problema. Além disso, todas as chaves API e secretas de usuários de contas devem ser regeneradas.