Vulnerabilidad en Apache CloudStack (CVE-2015-3252)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-255
Gestión de credenciales
Fecha de publicación:
08/02/2016
Última modificación:
12/04/2025
Descripción
Apache CloudStack en versiones anteriores a 4.5.2 no conserva adecuadamente las contraseñas VNC al migrar máquinas virtuales KVM, lo que permite a atacantes remotos obtener acceso mediante la conexión al servidor VNC.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:cloudstack:*:*:*:*:*:*:*:* | 4.5.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://mail-archives.apache.org/mod_mbox/cloudstack-users/201602.mbox/%3C7508580E-3D83-49FD-BE6E-B329B0503130%40gmail.com%3E
- http://www.securityfocus.com/archive/1/537459/100/0/threaded
- https://blogs.apache.org/cloudstack/entry/two_late_announced_security_advisories
- http://mail-archives.apache.org/mod_mbox/cloudstack-users/201602.mbox/%3C7508580E-3D83-49FD-BE6E-B329B0503130%40gmail.com%3E
- http://www.securityfocus.com/archive/1/537459/100/0/threaded
- https://blogs.apache.org/cloudstack/entry/two_late_announced_security_advisories