PT-2026-38918 · Apache · Cloudstack
Reza
·
Publicado
2026-05-08
·
Atualizado
2026-05-11
·
CVE-2026-25077
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Apache CloudStack versões anteriores a 4.20.3.0
Apache CloudStack versões anteriores a 4.22.0.1
Descrição
Usuários de conta podem registrar templates para download direto no armazenamento primário ao implantar instâncias usando o hipervisor KVM. Devido à falta de sanitização do nome do arquivo, um invasor pode registrar templates maliciosos para executar código arbitrário nos hosts KVM. Isso pode resultar no comprometimento da integridade e confidencialidade dos recursos, perda de dados, negação de serviço e indisponibilidade da infraestrutura baseada em KVM gerenciada pelo CloudStack.
Recomendações
Atualize para a versão 4.20.3.0 ou posterior.
Atualize para a versão 4.22.0.1 ou posterior.
Correção
DoS
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cloudstack