Plataforma
apache
Componente
quota-plugin
Corregido en
4.20.1.0
El plugin Quota de CloudStack presenta una vulnerabilidad de falta de privilegios en las versiones 4.20.0.0 y 4.20.1.0. Esta falla permite a usuarios autenticados, con acceso a APIs específicas, modificar la configuración de recepción de emails de cuotas para cualquier cuenta en el entorno, así como listar sus configuraciones. Se recomienda actualizar a la versión 4.20.1.0 para solucionar este problema.
La vulnerabilidad de falta de privilegios en el plugin Quota de CloudStack permite a un atacante con acceso autenticado a la plataforma, manipular la configuración de las alertas de cuotas para cualquier cuenta dentro del entorno CloudStack. Esto podría ser utilizado para ocultar el consumo excesivo de recursos, dificultando la detección de anomalías y potencialmente llevando a sobrecostos o denegación de servicio. El atacante también puede listar las configuraciones de cuotas, obteniendo información sensible sobre la asignación de recursos y las políticas de uso. Aunque no permite la ejecución remota de código, la manipulación de las alertas de cuotas puede ser un paso inicial para ataques más complejos, como la evasión de controles de seguridad o la exfiltración de datos.
Esta vulnerabilidad ha sido publicada el 2025-06-10. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV catalog de CISA. La probabilidad de explotación se considera baja, dado que requiere acceso autenticado a la plataforma y conocimiento de las APIs específicas.
Organizations utilizing CloudStack with the Quota plugin enabled, particularly those running versions 4.20.0.0 through 4.20.1.0, are at risk. Environments with overly permissive API access controls or shared hosting configurations where multiple users have access to the CloudStack management interface are especially vulnerable.
• apache / server:
# Check for unusual quota configuration changes in CloudStack audit logs
journalctl -u cloudstack -g 'quota' | grep -i 'modified'• generic web:
# Check for unexpected API calls related to quota management
curl -s 'https://<cloudstack_url>/api/cloudstack/quota' | grep -i 'enabled'disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar a la versión 4.20.1.0 de CloudStack, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a las APIs relacionadas con la gestión de cuotas a usuarios con privilegios mínimos necesarios. Implementar un monitoreo exhaustivo de las actividades relacionadas con las cuotas puede ayudar a detectar cualquier manipulación no autorizada. Aunque no existe una solución de WAF específica, se pueden configurar reglas para detectar patrones de acceso inusuales a las APIs de cuotas. Verifique después de la actualización que la recepción de emails de cuotas funciona correctamente y que las configuraciones de las cuotas se aplican según lo esperado.
Actualice Apache CloudStack a la versión 4.20.1.0 o superior. Esta versión corrige la lógica de gestión de privilegios incorrecta en el plugin Quota. La actualización evitará el acceso no autorizado a recursos dedicados y la manipulación de configuraciones de correo electrónico relacionadas con las cuotas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-22829 is a vulnerability in the CloudStack Quota plugin allowing authenticated users to manipulate quota email settings for any account, bypassing access controls.
You are affected if you are using CloudStack versions 4.20.0.0 through 4.20.1.0 with the Quota plugin enabled.
Upgrade CloudStack to version 4.20.1.0 or later to resolve the vulnerability. Restrict API access as an interim measure.
Active exploitation campaigns targeting CVE-2025-22829 are not currently known, but vigilance is advised.
Refer to the official CloudStack security advisory for details and further guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.