CVE-2026-25199 in CloudStack
요약
\~에 의해 VulDB • 2026. 05. 08.
Proxmox 확장을 통해 배포된 인스턴스는 다른 테넌트에 속한 인스턴스에 대한 무단 접근을 허용합니다.
이 문제는 Apache CloudStack 4.21.0.0부터 4.22.0.0까지의 버전에서 영향을 받습니다.
CloudStack용 Proxmox 확장은 CloudStack 인스턴스를 Proxmox 가상 머신(VM)과 연결하기 위해 사용자가 편집 가능한 인스턴스 설정인 `proxmox_vmid`를 부적절하게 사용합니다. 이 값은 테넌트 소유권에 대해 제한되거나 검증되지 않으며, Proxmox VM ID는 예측 가능하므로 비권한 공격자가 해당 설정을 수정하여 다른 계정에 속한 VM을 참조할 수 있습니다. 이를 통해 무단의 크로스 테넌트 접근이 가능해지며, 대상 VM에 대한 완전한 제어(가상 머신의 시작, 중지 및 삭제 포함)가 허용됩니다.
사용자는 이 문제를 해결한 버전 4.22.0.1로 업그레이드하는 것이 권장됩니다.
기존 설치에 대한 우회 조치로, `user.vm.denied.details` 전역 구성 매개변수에 해당 세부 정보 이름을 추가하여 사용자가 `proxmox_vmid` 인스턴스 세부 정보를 편집하지 못하도록 방지할 수 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.