Vulnerabilidad en Apache CloudStack (CVE-2024-42062)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/08/2024
Última modificación:
11/10/2024
Descripción
Los usuarios de cuentas de CloudStack utilizan de forma predeterminada la autenticación basada en nombre de usuario y contraseña para acceder a API y UI. Los usuarios de cuentas pueden generar y registrar API aleatorias y claves secretas y utilizarlas con fines de automatización e integraciones basadas en API. Debido a un problema de validación de permisos de acceso que afecta a las versiones 4.10.0 hasta 4.19.1.0 de Apache CloudStack, se descubrió que las cuentas de administrador de dominio pueden consultar todas las API y claves secretas de los usuarios de cuentas registrados en un entorno, incluida la de un administrador superusuario. Un atacante que tiene acceso de administrador de dominio puede aprovechar esto para obtener privilegios de administrador raíz y de otras cuentas y realizar operaciones maliciosas que pueden comprometer la integridad y confidencialidad de los recursos, la pérdida de datos, la denegación de servicio y la disponibilidad de la infraestructura administrada de CloudStack. Se recomienda a los usuarios actualizar a Apache CloudStack 4.18.2.3 o 4.19.1.1, o posterior, que soluciona este problema. Además, se deben regenerar todas las API y claves secretas del usuario de la cuenta.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:cloudstack:*:*:*:*:*:*:*:* | 4.10.0.0 (incluyendo) | 4.18.2.3 (excluyendo) |
cpe:2.3:a:apache:cloudstack:*:*:*:*:*:*:*:* | 4.19.0.0 (incluyendo) | 4.19.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página