Plateforme
apache
Composant
apache-cloudstack
Corrigé dans
4.19.3.0
4.20.1.0
Une vulnérabilité d'escalade de privilèges a été découverte dans Apache CloudStack, affectant les versions de 4.10.0.0 à 4.20.1.0. Un utilisateur administrateur de domaine malveillant, opérant dans le domaine ROOT, peut exploiter cette faille pour obtenir les clés API et secrètes des comptes d'utilisateurs de type Admin au sein du même domaine. Cette action, insuffisamment restreinte, permet à l'attaquant de prendre le contrôle de comptes d'utilisateurs de privilèges supérieurs.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de se faire passer pour un utilisateur Admin et d'accéder à des API et des ressources sensibles. Cela peut entraîner une compromission de l'intégrité et de la confidentialité des ressources, une perte de données et un déni de service. L'attaquant peut potentiellement modifier la configuration du CloudStack, accéder à des données sensibles stockées dans l'environnement, et même compromettre d'autres systèmes connectés. Bien qu'il n'y ait pas de rapport d'exploitation publique connu à ce jour, la possibilité d'escalade de privilèges dans un environnement de gestion de cloud comme CloudStack présente un risque significatif, similaire à d'autres vulnérabilités d'accès non restreint aux clés API.
Cette vulnérabilité a été rendue publique le 2025-06-10. Elle n'est pas encore répertoriée sur le KEV de CISA, ni a-t-elle reçu une évaluation EPSS. Aucun proof-of-concept public n'est actuellement disponible, mais la nature de la vulnérabilité (escalade de privilèges) la rend potentiellement attrayante pour les acteurs malveillants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour tout signe d'exploitation active.
Organizations utilizing Apache CloudStack in production environments, particularly those with complex domain hierarchies and a large number of administrative accounts, are at risk. Shared hosting environments where multiple customers share a CloudStack instance are also vulnerable, as a compromised Domain Admin account could potentially impact other tenants.
• apache: Examine CloudStack audit logs for unusual API key access patterns or attempts to impersonate Admin users.
journalctl -u cloudstack-management -f | grep "API key" | grep "Admin"• apache: Monitor CloudStack API endpoints for unauthorized access attempts.
curl -I https://<cloudstack_management_server>/api/cloudstack/ | grep -i "403 forbidden"• generic web: Review CloudStack access logs for suspicious activity originating from the ROOT domain.
grep "Domain Admin" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
La correction officielle consiste à mettre à niveau Apache CloudStack vers la version 4.20.1.0 ou ultérieure. En attendant la mise à niveau, il est recommandé de renforcer les contrôles d'accès et de surveillance au sein du domaine ROOT. Limitez les privilèges des administrateurs de domaine au strict minimum nécessaire. Mettez en œuvre une surveillance renforcée des activités API pour détecter les tentatives d'accès non autorisées. Si une mise à niveau immédiate n'est pas possible, examinez la possibilité de créer des règles de pare-feu ou de proxy inverse pour restreindre l'accès aux API sensibles aux seuls utilisateurs autorisés. Vérifiez après la mise à niveau que les clés API des utilisateurs Admin sont correctement gérées et que les autorisations sont conformes aux politiques de sécurité.
Actualice Apache CloudStack a la versión 4.19.3.0 o 4.20.1.0. Estas versiones incluyen validaciones estrictas en la jerarquía de tipos de roles y comparaciones de privilegios de API, además de nuevas configuraciones a nivel de dominio para restringir las operaciones en cuentas del mismo tipo de rol y dentro de la misma cuenta.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-47849 is a vulnerability in Apache CloudStack versions 4.10.0.0–4.20.0.0 that allows a malicious Domain Admin to escalate privileges by obtaining Admin API keys, potentially leading to data compromise and denial of service.
If you are running Apache CloudStack versions 4.10.0.0 through 4.20.0.0, you are potentially affected by this vulnerability. Upgrade to 4.20.1.0 or later to mitigate the risk.
The recommended fix is to upgrade Apache CloudStack to version 4.20.1.0 or later. Consider implementing stricter access controls and MFA as interim measures.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-47849, but the potential for exploitation exists.
Refer to the official Apache CloudStack security advisory for detailed information and updates regarding CVE-2025-47849: [https://lists.cloudstack.apache.org/gmane/list/security/spamsg/176061/1](https://lists.cloudstack.apache.org/gmane/list/security/spamsg/176061/1)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.