Informazioni sul CVE-2024-38346
Apache CloudStack: Unauthenticated cluster service port leads to remote execution
CWE ID: CWE-94
Base Score (CVSS): N/A
CVE: CVE-2024-38346
Descrizione: Il servizio CloudStack opera su un port non autenticato (default 9090) che può essere abusato per eseguire comandi arbitrari su host hypervisori e server di gestione CloudStack. Alcuni di questi comandi hanno rivelato vulnerabilità di injection di comandi che possono portare all’esecuzione di codice arbitrario tramite agenti su host che potrebbero essere eseguiti come utente privilegiato. Un attaccante in grado di raggiungere il servizio CloudStack sul port non autenticato (default 9090) può sfruttare questo per eseguire l’esecuzione remota di codice su host CloudStack gestiti e causare un comprometto completo della riservatezza, integrità e disponibilità della infrastruttura CloudStack gestita. Si raccomanda agli utenti di limitare l’accesso di rete al port CloudStack (default 9090) sul server di gestione CloudStack host solo ai suoi server di gestione CloudStack peer. Si raccomanda di aggiornare alla versione 4.18.2.1, 4.19.0.2 o successive, che risolve questo problema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://lists.apache.org/thread/6l51r00csrct61plkyd3qg3fj99215d1
- https://cloudstack.apache.org/blog/security-release-advisory-4.19.0.2-4.18.2.1
- https://www.shapeblue.com/shapeblue-security-advisory-apache-cloudstack-security-releases-4-18-2-1-and-4-19-0-2/
- http://www.openwall.com/lists/oss-security/2024/07/05/1
Prodotti interessati
- Apache Software Foundation – Apache CloudStack
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache CloudStack
Anno: 2024
CWE: CWE-94
CVSS: 0.0