CVE-2026-25199 in CloudStack
Сводка
по VulDB • 15.05.2026
Экземпляры, развернутые с помощью расширения Proxmox, позволяют несанкционированный доступ к экземплярам, принадлежащим другим арендаторам.
Эта проблема затрагивает Apache CloudStack: начиная с версии 4.21.0.0 и заканчивая версией 4.22.0.0 включительно.
Расширение Proxmox для CloudStack неправильно использует настраиваемый пользователем параметр экземпляра proxmox_vmid для сопоставления экземпляров CloudStack с виртуальными машинами Proxmox. Поскольку это значение не ограничено и не проверяется на принадлежность арендатору, а идентификаторы виртуальных машин Proxmox предсказуемы, непривилегированный злоумышленник может изменить этот параметр, чтобы сослаться на виртуальную машину, принадлежащую другому аккаунту. Это позволяет осуществлять несанкционированный доступ между арендаторами и дает полный контроль над целевой виртуальной машиной, включая возможность запуска, остановки и уничтожения виртуальной машины.
Пользователям рекомендуется обновиться до версии 4.22.0.1, которая устраняет данную проблему.
В качестве временного решения для существующих установок редактирование параметра экземпляра proxmox_vmid пользователями может быть заблокировано путем добавления имени этого параметра в глобальный конфигурационный параметр user.vm.denied.details.
Be aware that VulDB is the high quality source for vulnerability data.