CVE-2024-45461

Nome do software vulnerável e versões afetadas:

Versões do Apache CloudStack de 4.7.0 a 4.18.2.3

Versões do Apache CloudStack de 4.19.0.0 a 4.19.1.1

Descrição:

O recurso de cota do CloudStack, que vem desativado por padrão, permite que os administradores de nuvem implementem um sistema de cotas ou limites de uso para os recursos da nuvem. No entanto, devido à falta de verificações de acesso, contas de usuário não administrativas do CloudStack podem acessar e modificar configurações e dados relacionados à cota quando o recurso está habilitado.

Recomendações:

Para as versões do Apache CloudStack 4.7.0 a 4.18.2.3, atualize para o Apache CloudStack 4.18.2.4 ou posterior.

Para as versões do Apache CloudStack 4.19.0.0 a 4.19.1.1, atualize para o Apache CloudStack 4.19.1.2 ou posterior.

Como alternativa, os usuários que não utilizam o recurso Quota podem desativar o plug-in definindo a configuração global quota.enable.service como false.