CVE-2026-25199

Nome do Software Vulnerável e Versões Afetadas Apache CloudStack versões 4.21.0.0 até 4.22.0.0

Description Instâncias implantadas via extensão Proxmox permitem acesso não autorizado a instâncias pertencentes a outros locatários. A extensão Proxmox utiliza incorretamente uma configuração de instância editável pelo usuário, proxmox vmid, para associar instâncias do CloudStack a máquinas virtuais Proxmox. Como esse valor não é validado em relação à propriedade do locatário e os IDs de VM do Proxmox são previsíveis, um invasor sem privilégios pode modificar a configuração para referenciar uma VM pertencente a outra conta. Isso permite o acesso não autorizado entre locatários e o controle total sobre a VM alvo, incluindo a capacidade de iniciá-la, pará-la e excluí-la.

Recommendations Atualize para a versão 4.22.0.1. Impeça que os usuários editem o detalhe da instância proxmox vmid adicionando este nome de detalhe ao parâmetro de configuração global user.vm.denied.details.