CVE-2026-25199: Уразливість у Apache CloudStack через розширення Proxmox
Критична уразливість у Apache CloudStack через Proxmox дозволяє неавторизований доступ до віртуальних машин інших орендарів. Рекомендується оновлення до 4.22.0.1.
- CVSS
- 9.1 CRITICAL
- EPSS
- 39.14%
- Активно використовується
- немає в KEV
- Продукт
- cloudstack
Що відомо
Уразливість у Apache CloudStack (версії 4.21.0.0–4.22.0.0) дозволяє неавторизованому користувачу отримати доступ до віртуальних машин інших орендарів через неправильне використання параметра proxmox_vmid у розширенні Proxmox. Це може призвести до повного контролю над чужими віртуальними машинами.
Бізнес-вплив
Ця уразливість створює ризик перехоплення контролю над віртуальними машинами інших користувачів у спільному середовищі, що може призвести до порушення конфіденційності, цілісності та доступності сервісів. Оператори ІТ-інфраструктури повинні врахувати високий рівень критичності (CVSS 9.1) та пріоритетно реагувати на цю загрозу, щоб уникнути потенційних атак і втрат даних.
Рекомендовані дії адміністратора
Рекомендується оновити Apache CloudStack до версії 4.22.0.1, де ця уразливість виправлена. Для існуючих інсталяцій можна тимчасово обмежити редагування параметра proxmox_vmid, додавши його до глобального конфігураційного параметра user.vm.denied.details. Також слід переглянути журнали доступу на предмет підозрілої активності та обмежити права користувачів на зміну критичних параметрів.