BDU:2024-06431

Опубликовано: 06 авг. 2024

Источник: fstec

CVSS3: 7.3

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость реализации прикладного программного интерфейса программной платформы управления средами выполнения виртуальных машин Apache CloudStack связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

CloudStack

Версия ПО

до 4.19.1.1 (CloudStack)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://cloudstack.apache.org/blog/security-release-advisory-4.19.1.1-4.18.2.3/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-42222
CVE

EPSS

Процентиль: 66%

0.00524

Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

CVE-2024-42222

CVSS3: 4.3

nvd

больше 1 года назад

In Apache CloudStack 4.19.1.0, a regression in the network listing API allows unauthorised list access of network details for domain admin and normal user accounts. This vulnerability compromises tenant isolation, potentially leading to unauthorised access to network details, configurations and data. Affected users are advised to upgrade to version 4.19.1.1 to address this issue. Users on older versions of CloudStack considering to upgrade, can skip 4.19.1.0 and upgrade directly to 4.19.1.1.

GHSA-2p5q-hvc3-c85p