CVE-2025-22828

Nome do Software Vulnerável e Versões Afetadas Versões 4.16.0 e posteriores do Apache CloudStack

Descrição A questão consiste em um problema de validação de acesso que permite a usuários com acesso, acesso prévio ou conhecimento dos UUIDs de recursos listar e adicionar comentários (anotações) a recursos aos quais não estão autorizados a acessar. Isso pode causar uma perda potencial de confidencialidade dos ambientes e recursos do CloudStack caso os comentários contenham informações privilegiadas. No entanto, adivinhar ou realizar força bruta nos UUIDs dos recursos é geralmente difícil até impossível, e o acesso para listar ou adicionar comentários não equivale ao acesso aos recursos do CloudStack, o que torna este problema de severidade muito baixa e impacto geral reduzido.

Recomendações Para as versões 4.16.0 e posteriores do Apache CloudStack, desabilite o acesso às APIs listAnnotations e addAnnotation para funções não administrativas no ambiente como uma medida provisória. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.