Vulnerabilidad en Apache CloudStack (CVE-2025-22828)

Los usuarios de CloudStack pueden agregar y leer comentarios (anotaciones) en los recursos a los que están autorizados a acceder. Debido a un problema de validación de acceso que afecta a las versiones de Apache CloudStack desde la 4.16.0, los usuarios que tienen acceso, acceso previo o conocimiento de los UUID de los recursos pueden enumerar y agregar comentarios (anotaciones) a dichos recursos. Un atacante con una cuenta de usuario y acceso o conocimiento previo de los UUID de los recursos puede aprovechar este problema para leer el contenido de los comentarios (anotaciones) o agregar comentarios maliciosos (anotaciones) a dichos recursos. Esto puede provocar una posible pérdida de confidencialidad de los entornos y recursos de CloudStack si los comentarios (anotaciones) contienen información privilegiada. Sin embargo, adivinar o forzar brutamente los UUID de los recursos es generalmente difícil o imposible y el acceso para enumerar o agregar comentarios no es lo mismo que el acceso a los recursos de CloudStack, lo que hace que este problema sea de muy baja gravedad y, en general, de bajo impacto. Los administradores de CloudStack también pueden prohibir el acceso a la API listAnnotations y addAnnotation a roles que no sean de administrador en su entorno como medida provisional.