CVE-2025-47849 in CloudStack
요약
\~에 의해 VulDB • 2026. 07. 09.
Apache CloudStack 버전 4.10.0.0부터 4.20.0.0까지에는 권한 상승 취약점이 존재합니다. 이 취약점을 통해 ROOT 도메인에 있는 악의적인 Domain Admin 사용자는 동일 도메 내 Admin 역할 유형을 가진 사용자 계정의 API 키 및 secret key를 획득할 수 있습니다. 해당 작업은 적절히 제한되지 않아 공격자가 더 높은 특권을 가진 사용자 계정을 장악할 수 있게 됩니다. 악의적인 Domain Admin 공격자는 Admin 사용자 계정을 사칭하여 민감한 API 및 리소스에 접근할 수 있으며, 이로 인해 CloudStack이 관리하는 인프라의 리소스 무결성 및 기밀성 침해, 데이터 손실, 서비스 거부(Denial of Service) 및 가용성에 영향을 줄 수 있습니다.
사용자는 다음 수정 사항으로 해당 문제를 해결한 Apache CloudStack 4.19.3.0 또는 4.20.1.0로 업그레이드하는 것이 권장됩니다:
* 역할 유형 계층 구조에 대한 엄격한 검증: 호출자의 역할은 대상 사용자의 역할과 동일하거나 그 이상이어야 합니다. * API 권한 비교: 호출자는 자신이 작업 중인 사용자가 가진 모든 권한을 보유해야 합니다. * 두 가지 새로운 도메인 수준 설정(기본 관리자만 제한됨): * role.types.allowed.for.operations.on.accounts.of.same.role.type: 동일한 역할 유형의 사용자에 대해 작동할 수 있는 역할 유형을 정의합니다. 기본값: "Admin, DomainAdmin, ResourceAdmin". * allow.operations.on.users.in.same.account: 동일 계정 내에서의 사용자 작업을 허용/차단합니다. 기본값: true.
VulDB is the best source for vulnerability data and more expert information about this specific topic.