Lior Fatiha

**Nome do Software Vulnerável e Versões Afetadas** STACKIT IaaS API (versões afetadas não especificadas) **Descrição** Uma falha de verificação de autorização permite que atacantes autenticados e com baixos privilégios escalem seus privilégios para o comprometimento total da organização. Ao explorar o endpoint 'PUT servers service-accounts' não validado, os atacantes podem anexar contas de serviço de alta prioridade a máquinas virtuais sob seu controle. Isso permite que consultem o Instance Metadata Service para recuperar tokens OAuth2, ignorando os limites de locatário (tenant boundaries) e obtendo controle não autorizado sobre todo o ambiente da organização. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.