CVE-2022-26779 in CloudStackinformazioni

Riassunto

di VulDB • 11/07/2026

Apache CloudStack precedente alla versione 4.16.1.0 utilizzava una generazione di numeri casuali non sicura per i token di invito ai progetti. Se un invito a progetto viene creato basandosi esclusivamente su un indirizzo email, viene generato un token casuale. Un attaccante che conoscesse l'ID del progetto e il fatto che l'invito sia stato inviato potrebbe generare token deterministici nel tempo ed effettuare tentativi brute force per utilizzarli prima che il destinatario legittimo accetti l'invito. Questa funzionalità non è abilitata di default; l'attaccante deve conoscere o indovinare l'ID del progetto dell'invito, oltre al token di invito, e dovrebbe essere un utente autorizzato esistente di CloudStack.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!