Plataforma
apache
Componente
apache-cloudstack
Corregido en
4.19.3.0
4.20.1.0
Se ha identificado una vulnerabilidad de escalada de privilegios en Apache CloudStack, afectando a las versiones desde 4.10.0.0 hasta 4.20.1.0. Un atacante con privilegios de Administrador de Dominio en el dominio ROOT puede obtener las claves API y secretas de cuentas de usuario de tipo Administrador dentro del mismo dominio. Esta acción no está debidamente restringida, permitiendo al atacante asumir el control de cuentas de usuario con mayores privilegios y, por ende, comprometer la seguridad del sistema. La versión 4.20.1.0 corrige esta vulnerabilidad.
Esta vulnerabilidad permite a un atacante con acceso de Administrador de Dominio en el dominio ROOT, obtener las claves API y secretas de cuentas de usuario con rol de Administrador. Al obtener estas credenciales, el atacante puede impersonar a un usuario Administrador, accediendo a APIs sensibles y recursos críticos. Esto podría resultar en la manipulación de la integridad de los recursos, la pérdida de confidencialidad de los datos, e incluso una denegación de servicio. El impacto potencial es significativo, ya que el atacante podría comprometer la totalidad del entorno CloudStack, dependiendo de los permisos asociados a la cuenta Administrador impersonada. La capacidad de acceder a APIs sensibles abre la puerta a la modificación de configuraciones, la creación o eliminación de máquinas virtuales, y el acceso a datos confidenciales almacenados en la plataforma.
Esta vulnerabilidad fue publicada el 10 de junio de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. No se han encontrado públicamente pruebas de concepto (PoCs) disponibles, lo que sugiere un riesgo de explotación relativamente bajo, aunque la severidad de la vulnerabilidad lo justifica. Se recomienda aplicar la mitigación lo antes posible.
Organizations utilizing Apache CloudStack in production environments, particularly those with complex domain hierarchies and a large number of administrative accounts, are at risk. Shared hosting environments where multiple customers share a CloudStack instance are also vulnerable, as a compromised Domain Admin account could potentially impact other tenants.
• apache: Examine CloudStack audit logs for unusual API key access patterns or attempts to impersonate Admin users.
journalctl -u cloudstack-management -f | grep "API key" | grep "Admin"• apache: Monitor CloudStack API endpoints for unauthorized access attempts.
curl -I https://<cloudstack_management_server>/api/cloudstack/ | grep -i "403 forbidden"• generic web: Review CloudStack access logs for suspicious activity originating from the ROOT domain.
grep "Domain Admin" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
La mitigación principal para esta vulnerabilidad es actualizar Apache CloudStack a la versión 4.20.1.0 o superior, donde la restricción de acceso a las claves API ha sido implementada. Si la actualización inmediata no es posible, se recomienda revisar y restringir los permisos de los usuarios Administrador de Dominio, limitando su acceso a las APIs más críticas. Implementar una política de rotación de claves API puede ayudar a mitigar el impacto en caso de que las claves sean comprometidas. Monitorear los registros de auditoría de CloudStack en busca de actividades sospechosas, como intentos de acceso no autorizados a las claves API, es crucial. Después de la actualización, confirmar la corrección verificando que los Administradores de Dominio ya no pueden acceder a las claves API de las cuentas de Administrador.
Actualice Apache CloudStack a la versión 4.19.3.0 o 4.20.1.0. Estas versiones incluyen validaciones estrictas en la jerarquía de tipos de roles y comparaciones de privilegios de API, además de nuevas configuraciones a nivel de dominio para restringir las operaciones en cuentas del mismo tipo de rol y dentro de la misma cuenta.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-47849 is a vulnerability in Apache CloudStack versions 4.10.0.0–4.20.0.0 that allows a malicious Domain Admin to escalate privileges by obtaining Admin API keys, potentially leading to data compromise and denial of service.
If you are running Apache CloudStack versions 4.10.0.0 through 4.20.0.0, you are potentially affected by this vulnerability. Upgrade to 4.20.1.0 or later to mitigate the risk.
The recommended fix is to upgrade Apache CloudStack to version 4.20.1.0 or later. Consider implementing stricter access controls and MFA as interim measures.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-47849, but the potential for exploitation exists.
Refer to the official Apache CloudStack security advisory for detailed information and updates regarding CVE-2025-47849: [https://lists.cloudstack.apache.org/gmane/list/security/spamsg/176061/1](https://lists.cloudstack.apache.org/gmane/list/security/spamsg/176061/1)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.