CVE-2026-25199: krytyczna luka w Apache CloudStack z rozszerzeniem Proxmox
Krytyczna luka w Apache CloudStack z rozszerzeniem Proxmox umożliwia nieautoryzowany dostęp do maszyn wirtualnych innych najemców. Zalecana aktualizacja do wersji 4.22.0.1.
- CVSS
- 9.1 CRITICAL
- EPSS
- 39.14%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- cloudstack
Co wiadomo
W Apache CloudStack w wersjach od 4.21.0.0 do 4.22.0.0 rozszerzenie Proxmox umożliwia nieautoryzowany dostęp do maszyn wirtualnych innych najemców poprzez modyfikację ustawienia proxmox_vmid. Luka pozwala na pełną kontrolę nad cudzymi maszynami, w tym ich uruchamianie, zatrzymywanie i usuwanie.
Wpływ biznesowy
Ta krytyczna luka naraża środowiska chmurowe oparte na Apache CloudStack z rozszerzeniem Proxmox na ryzyko naruszenia izolacji między najemcami. Atakujący bez uprawnień mogą przejąć kontrolę nad maszynami wirtualnymi innych użytkowników, co może prowadzić do utraty danych, przerw w działaniu usług oraz poważnych konsekwencji dla bezpieczeństwa i reputacji organizacji.
Rekomendowane działania administratora
Zaleca się niezwłoczną aktualizację Apache CloudStack do wersji 4.22.0.1, która eliminuje tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć możliwość edycji parametru proxmox_vmid przez użytkowników, dodając go do globalnej konfiguracji user.vm.denied.details. Dodatkowo warto monitorować logi pod kątem nietypowych zmian i aktywności oraz ograniczyć dostęp do interfejsów zarządzania.