【漏洞预警】Apache CloudStack请求来源验证绕过漏洞 CVE-2024-45693

cexlife 飓风网络安全 2024-10-17 21:06

漏洞描述:Apache CloudStack是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提交恶意的CSRF请求,这种攻击方式可能导致用户账户被接管、服务中断、敏感数据泄露等安全隐患。修复版本中,通过新增cookiePathRewrite参数确保cookie在正确的路径下可用,以修复漏洞。影响范围:cloudstack 生态：linux仓库类型unmanaged受影响的版本[4.15.1.0, 4.18.2.4)最小修复版本4.18.2.4仓库类型unmanaged受影响的版本[4.19.0.0, 4.19.1.2)最小修复版本4.19.1.2

参考链接：https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2/