PT-2024-29718 · Apache · Apache Cloudstack
Fabricio Duarte
·
Publicado
2024-08-07
·
Atualizado
2024-10-11
·
CVE-2024-42062
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 4.10.0 a 4.19.1.0 do Apache CloudStack
Descrição
O problema é causado por uma falha na validação de permissões de acesso que permite que contas de administrador de domínio consultem todas as chaves API e secretas de usuários de contas registradas, incluindo as do administrador root. Isso pode ser explorado por um invasor com acesso de administrador de domínio para obter privilégios de administrador root e de outras contas, resultando em potencial comprometimento da integridade e confidencialidade dos recursos, perda de dados, negação de serviço e disponibilidade da infraestrutura gerenciada pelo CloudStack.
Recomendações
Para as versões do Apache CloudStack 4.10.0 a 4.19.1.0, atualize para o Apache CloudStack 4.18.2.3 ou 4.19.1.1, ou versões posteriores, que corrigem este problema.
Além disso, todas as chaves API e secretas de usuários de contas devem ser regeneradas.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Cloudstack