Felipe Olivaes

Nome do software vulnerável e versões afetadas: Versões do Apache CloudStack de 4.15.1.0 a 4.18.2.3 Versões do Apache CloudStack de 4.19.0.0 a 4.19.1.1 Descrição: A operação de logout na interface web do CloudStack não encerra completamente a sessão do usuário, que permanece válida até expirar por tempo ou reinício do serviço de backend. Um invasor com acesso ao navegador de um usuário pode usar uma sessão não expirada para obter acesso aos recursos pertencentes à conta do usuário que efetuou o logout. Recomendações: Para as versões do Apache CloudStack 4.15.1.0 a 4.18.2.3, atualize para o Apache CloudStack 4.18.2.4 ou posterior. Para as versões do Apache CloudStack 4.19.0.0 a 4.19.1.1, atualize para o Apache CloudStack 4.19.1.2 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Apache CloudStack de 4.15.1.0 a 4.18.2.3 Versões do Apache CloudStack de 4.19.0.0 a 4.19.1.1 Descrição: A vulnerabilidade permite que invasores induzam usuários conectados à interface web do Apache CloudStack a enviar solicitações CSRF maliciosas devido à falta de validação da origem das solicitações. Isso pode levar à apropriação de contas, interrupção do serviço, exposição de dados confidenciais e comprometimento da integridade dos recursos pertencentes à conta de usuário gerenciada pela plataforma. Recomendações: Para as versões do Apache CloudStack 4.15.1.0 a 4.18.2.3, atualize para o Apache CloudStack 4.18.2.4 ou posterior. Para as versões do Apache CloudStack 4.19.0.0 a 4.19.1.1, atualize para o Apache CloudStack 4.19.1.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso à interface web para minimizar o risco de exploração.