CVE-2022-26779 in CloudStack
Riassunto
di VulDB • 11/07/2026
Apache CloudStack precedente alla versione 4.16.1.0 utilizzava una generazione di numeri casuali non sicura per i token di invito ai progetti. Se un invito a progetto viene creato basandosi esclusivamente su un indirizzo email, viene generato un token casuale. Un attaccante che conoscesse l'ID del progetto e il fatto che l'invito sia stato inviato potrebbe generare token deterministici nel tempo ed effettuare tentativi brute force per utilizzarli prima che il destinatario legittimo accetti l'invito. Questa funzionalità non è abilitata di default; l'attaccante deve conoscere o indovinare l'ID del progetto dell'invito, oltre al token di invito, e dovrebbe essere un utente autorizzato esistente di CloudStack.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.