CVE-2026-25077 in CloudStack
要約
〜によって VulDB • 2026年05月10日
デフォルトでは、アカウントユーザーはKVMハイパーバイザーを使用してインスタンスを展開するために、プライマリストレージに直接ダウンロードされるテンプレートを登録できます。ファイル名のサニタイズ処理が欠落しているため、攻撃者は悪意のあるテンプレートを登録してKVMホスト上で任意のコードを実行できます。これにより、CloudStackが管理するKVMベースのインフラストラクチャのリソースの整合性と機密性の侵害、データ損失、サービス拒否、および可用性の低下を招く可能性があります。
この問題を修正するため、Apache CloudStackのバージョン4.20.3.0、4.22.0.1、またはそれ以降へのアップグレードを推奨します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.