Vulnerabilidad en Apache CloudStack (CVE-2025-26521)

Cuando una cuenta de usuario de Apache CloudStack crea un clúster de Kubernetes basado en CKS en un proyecto, la clave API y la clave secreta del usuario "kubeadmin" de la cuenta del autor de la llamada se utilizan para crear la configuración secreta en el clúster de Kubernetes basado en CKS. Un miembro del proyecto con acceso al clúster de Kubernetes basado en CKS también puede acceder a la clave API y la clave secreta del usuario "kubeadmin" de la cuenta del creador del clúster. Un atacante miembro del proyecto puede aprovechar esto para suplantar la identidad y realizar acciones privilegiadas que pueden comprometer por completo la confidencialidad, integridad y disponibilidad de los recursos de la cuenta del creador. Se recomienda a los usuarios de CKS actualizar a la versión 4.19.3.0 o 4.20.1.0, que soluciona este problema. Actualización de clústeres de Kubernetes existentes en proyectos. Se debe crear una cuenta de servicio para cada proyecto a fin de proporcionar acceso limitado, específicamente para los proveedores de clústeres de Kubernetes y el escalado automático. Siga los pasos a continuación para crear una nueva cuenta de servicio, actualizar el secreto dentro del clúster y regenerar las claves de API y de servicio existentes: 1. Cree una nueva cuenta de servicio. Cree una nueva cuenta con el rol "Rol de servicio de Kubernetes del proyecto" con la siguiente información: Nombre de la cuenta: kubeadmin- Nombre: Kubernetes Apellido: Usuario de servicio Tipo de cuenta: 0 (Usuario normal) ID de rol: 2. Agregue la cuenta de servicio al proyecto. Agregue esta cuenta al proyecto donde se alojan los clústeres de Kubernetes. 3. Genere las claves de API y secretas. Genere la clave de API y la clave secreta para el usuario predeterminado de esta cuenta. 4. Actualice el secreto de CloudStack en el clúster de Kubernetes. Cree un archivo temporal `/tmp/cloud-config` con los siguientes datos: api-url = # Por ejemplo: /client/api api-key = secret-key = project-id = Elimine el secreto existente usando kubectl y la configuración del clúster de Kubernetes: ./kubectl --kubeconfig kube.conf -n kube-system delete secret cloudstack-secret Cree un nuevo secreto usando kubectl y la configuración del clúster de Kubernetes: ./kubectl --kubeconfig kube.conf -n kube-system create secret generic cloudstack-secret --from-file=/tmp/cloud-config Elimine el archivo temporal: rm /tmp/cloud-config5. Regenerar API y claves secretasRegenere la API y las claves secretas para la cuenta de usuario original que se utilizó para crear el clúster de Kubernetes.