Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache CloudStack (CVE-2024-42062)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/08/2024
Última modificación:
11/10/2024

Descripción

Los usuarios de cuentas de CloudStack utilizan de forma predeterminada la autenticación basada en nombre de usuario y contraseña para acceder a API y UI. Los usuarios de cuentas pueden generar y registrar API aleatorias y claves secretas y utilizarlas con fines de automatización e integraciones basadas en API. Debido a un problema de validación de permisos de acceso que afecta a las versiones 4.10.0 hasta 4.19.1.0 de Apache CloudStack, se descubrió que las cuentas de administrador de dominio pueden consultar todas las API y claves secretas de los usuarios de cuentas registrados en un entorno, incluida la de un administrador superusuario. Un atacante que tiene acceso de administrador de dominio puede aprovechar esto para obtener privilegios de administrador raíz y de otras cuentas y realizar operaciones maliciosas que pueden comprometer la integridad y confidencialidad de los recursos, la pérdida de datos, la denegación de servicio y la disponibilidad de la infraestructura administrada de CloudStack. Se recomienda a los usuarios actualizar a Apache CloudStack 4.18.2.3 o 4.19.1.1, o posterior, que soluciona este problema. Además, se deben regenerar todas las API y claves secretas del usuario de la cuenta.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:cloudstack:*:*:*:*:*:*:*:* 4.10.0.0 (incluyendo) 4.18.2.3 (excluyendo)
cpe:2.3:a:apache:cloudstack:*:*:*:*:*:*:*:* 4.19.0.0 (incluyendo) 4.19.1.1 (excluyendo)