Sander Grendelman

**Nome do Software Vulnerável e Versões Afetadas** Apache CloudStack versões 4.21.0.0 até 4.22.0.0 **Description** Instâncias implantadas via extensão Proxmox permitem acesso não autorizado a instâncias pertencentes a outros locatários. A extensão Proxmox utiliza incorretamente uma configuração de instância editável pelo usuário, `proxmox vmid`, para associar instâncias do CloudStack a máquinas virtuais Proxmox. Como esse valor não é validado em relação à propriedade do locatário e os IDs de VM do Proxmox são previsíveis, um invasor sem privilégios pode modificar a configuração para referenciar uma VM pertencente a outra conta. Isso permite o acesso não autorizado entre locatários e o controle total sobre a VM alvo, incluindo a capacidade de iniciá-la, pará-la e excluí-la. **Recommendations** Atualize para a versão 4.22.0.1. Impeça que os usuários editem o detalhe da instância `proxmox vmid` adicionando este nome de detalhe ao parâmetro de configuração global `user.vm.denied.details`.