CVE-2026-25199: Уразливість у Apache CloudStack через розширення Proxmox

Критична уразливість у Apache CloudStack через Proxmox дозволяє неавторизований доступ до віртуальних машин інших орендарів. Рекомендується оновлення до 4.22.0.1.
CVE-2026-25199CVSS 9.1Web

CVE-2026-25199: Уразливість у Apache CloudStack через розширення Proxmox

Критична уразливість у Apache CloudStack через Proxmox дозволяє неавторизований доступ до віртуальних машин інших орендарів. Рекомендується оновлення до 4.22.0.1.

CVSS
9.1 CRITICAL
EPSS
39.14%
Активно використовується
немає в KEV
Продукт
cloudstack

Що відомо

Уразливість у Apache CloudStack (версії 4.21.0.0–4.22.0.0) дозволяє неавторизованому користувачу отримати доступ до віртуальних машин інших орендарів через неправильне використання параметра proxmox_vmid у розширенні Proxmox. Це може призвести до повного контролю над чужими віртуальними машинами.

Бізнес-вплив

Ця уразливість створює ризик перехоплення контролю над віртуальними машинами інших користувачів у спільному середовищі, що може призвести до порушення конфіденційності, цілісності та доступності сервісів. Оператори ІТ-інфраструктури повинні врахувати високий рівень критичності (CVSS 9.1) та пріоритетно реагувати на цю загрозу, щоб уникнути потенційних атак і втрат даних.

Рекомендовані дії адміністратора

Рекомендується оновити Apache CloudStack до версії 4.22.0.1, де ця уразливість виправлена. Для існуючих інсталяцій можна тимчасово обмежити редагування параметра proxmox_vmid, додавши його до глобального конфігураційного параметра user.vm.denied.details. Також слід переглянути журнали доступу на предмет підозрілої активності та обмежити права користувачів на зміну критичних параметрів.

Джерела