CVE-2026-25199: krytyczna luka w Apache CloudStack z rozszerzeniem Proxmox

Krytyczna luka w Apache CloudStack z rozszerzeniem Proxmox umożliwia nieautoryzowany dostęp do maszyn wirtualnych innych najemców. Zalecana aktualizacja do wersji 4.22.0.1.
CVE-2026-25199CVSS 9.1Web

CVE-2026-25199: krytyczna luka w Apache CloudStack z rozszerzeniem Proxmox

Krytyczna luka w Apache CloudStack z rozszerzeniem Proxmox umożliwia nieautoryzowany dostęp do maszyn wirtualnych innych najemców. Zalecana aktualizacja do wersji 4.22.0.1.

CVSS
9.1 CRITICAL
EPSS
39.14%
Aktywnie wykorzystywana
brak w KEV
Produkt
cloudstack

Co wiadomo

W Apache CloudStack w wersjach od 4.21.0.0 do 4.22.0.0 rozszerzenie Proxmox umożliwia nieautoryzowany dostęp do maszyn wirtualnych innych najemców poprzez modyfikację ustawienia proxmox_vmid. Luka pozwala na pełną kontrolę nad cudzymi maszynami, w tym ich uruchamianie, zatrzymywanie i usuwanie.

Wpływ biznesowy

Ta krytyczna luka naraża środowiska chmurowe oparte na Apache CloudStack z rozszerzeniem Proxmox na ryzyko naruszenia izolacji między najemcami. Atakujący bez uprawnień mogą przejąć kontrolę nad maszynami wirtualnymi innych użytkowników, co może prowadzić do utraty danych, przerw w działaniu usług oraz poważnych konsekwencji dla bezpieczeństwa i reputacji organizacji.

Rekomendowane działania administratora

Zaleca się niezwłoczną aktualizację Apache CloudStack do wersji 4.22.0.1, która eliminuje tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć możliwość edycji parametru proxmox_vmid przez użytkowników, dodając go do globalnej konfiguracji user.vm.denied.details. Dodatkowo warto monitorować logi pod kątem nietypowych zmian i aktywności oraz ograniczyć dostęp do interfejsów zarządzania.

Źródła