平台
apache
组件
apache-cloudstack
修复版本
4.19.3.0
4.20.1.0
CVE-2025-47849 是 Apache CloudStack 中发现的权限提升漏洞。该漏洞允许恶意 Domain Admin 用户在 ROOT 域中获取 Admin 角色类型用户帐户的 API 密钥和密钥,从而绕过安全控制。受影响的版本包括 4.10.0.0 到 4.20.1.0。已发布安全补丁,建议尽快升级。
该漏洞的影响非常严重,攻击者可以利用它来完全控制受影响的 CloudStack 环境。通过获取 Admin 帐户的凭据,攻击者可以执行各种恶意操作,包括创建、修改或删除虚拟机、访问敏感数据、更改网络配置,甚至完全接管整个 CloudStack 集群。这种权限提升可能导致严重的资源泄露、数据丢失和拒绝服务攻击。攻击者可以利用此漏洞进行横向移动,访问其他域中的资源,进一步扩大攻击范围。由于 CloudStack 在许多组织中用于管理关键基础设施,因此该漏洞的潜在影响非常广泛。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中,但由于其潜在影响,可能会在未来被添加到其中。建议持续监控安全公告和威胁情报,以获取有关此漏洞的最新信息。
Organizations utilizing Apache CloudStack in production environments, particularly those with complex domain hierarchies and a large number of administrative accounts, are at risk. Shared hosting environments where multiple customers share a CloudStack instance are also vulnerable, as a compromised Domain Admin account could potentially impact other tenants.
• apache: Examine CloudStack audit logs for unusual API key access patterns or attempts to impersonate Admin users.
journalctl -u cloudstack-management -f | grep "API key" | grep "Admin"• apache: Monitor CloudStack API endpoints for unauthorized access attempts.
curl -I https://<cloudstack_management_server>/api/cloudstack/ | grep -i "403 forbidden"• generic web: Review CloudStack access logs for suspicious activity originating from the ROOT domain.
grep "Domain Admin" /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.09% (25% 百分位)
最有效的缓解措施是立即将 Apache CloudStack 升级到 4.20.1.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 ROOT 域中 Domain Admin 用户的权限,实施严格的访问控制策略,并监控 CloudStack API 的活动,以检测任何可疑行为。可以使用 Web 应用防火墙 (WAF) 来阻止恶意请求,并配置 CloudStack 的安全组以限制对敏感 API 的访问。此外,定期审查 CloudStack 的配置,确保遵循最佳安全实践。
Actualice Apache CloudStack a la versión 4.19.3.0 o 4.20.1.0. Estas versiones incluyen validaciones estrictas en la jerarquía de tipos de roles y comparaciones de privilegios de API, además de nuevas configuraciones a nivel de dominio para restringir las operaciones en cuentas del mismo tipo de rol y dentro de la misma cuenta.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-47849 是 Apache CloudStack 4.10.0.0–4.20.1.0 版本中发现的权限提升漏洞,允许恶意 Domain Admin 用户获取 Admin 帐户的 API 密钥,从而可能导致数据泄露和拒绝服务。
如果您正在使用 Apache CloudStack 4.10.0.0 到 4.20.1.0 版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
最有效的修复方法是升级到 Apache CloudStack 4.20.1.0 或更高版本。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Apache CloudStack 官方安全公告页面,以获取有关此漏洞的最新信息:https://lists.apache.org/list?name=cloudstack-security
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。