一、 漏洞 CVE-2024-45461 基础信息
漏洞标题
Apache CloudStack Quota插件访问检查未强制执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
CloudStack的配额功能允许云管理员实施云资源的配额或使用限制系统,默认情况下该功能是禁用的。在该功能被启用的环境中,由于缺少访问控制检查,非管理员的CloudStack用户账户能够访问并修改与配额相关的配置和数据。这个问题影响了从4.7.0到4.18.2.3版本,以及从4.19.0.0到4.19.1.1版本的Apache CloudStack,前提是该配额功能已启用。
建议用户升级到Apache CloudStack 4.18.2.4或4.19.1.2及更高版本,以解决此问题。或者,对于不使用配额功能的用户,建议通过将全局设置"quota.enable.service"设置为"false"来禁用该插件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制不正确
来源:AIGC 神龙大模型
漏洞标题
Apache CloudStack Quota plugin: Access checks not enforced in Quota
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The CloudStack Quota feature allows cloud administrators to implement a quota or usage limit system for cloud resources, and is disabled by default. In environments where the feature is enabled, due to missing access check enforcements, non-administrative CloudStack user accounts are able to access and modify quota-related configurations and data. This issue affects Apache CloudStack from 4.7.0 through 4.18.2.3; and from 4.19.0.0 through 4.19.1.1, where the Quota feature is enabled.
Users are recommended to upgrade to Apache CloudStack 4.18.2.4 or 4.19.1.2, or later, which addresses this issue. Alternatively, users that do not use the Quota feature are advised to disabled the plugin by setting the global setting "quota.enable.service" to "false".
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache CloudStack 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache CloudStack是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台。该平台主要用于部署和管理大型虚拟机网络。 Apache CloudStack 4.7.0到4.18.2.3版本和4.19.0.0到4.19.1.1版本存在安全漏洞,该漏洞源于缺少访问检查强制执行,非管理用户能够访问和修改与配额相关的配置和数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45461 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-45461 的情报信息
- https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2 vendor-advisory patch
- https://lists.apache.org/thread/ktsfjcnj22x4kg49ctock3d9tq7jnvlo mailing-list
-
标题: ShapeBlue Security Advisory: Apache CloudStack Security Releases 4.18.2.4 and 4.19.1.2 - ShapeBlue -- 🔗来源链接
标签: third-party-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2024-45461