CVE-2025-59454 - Apache CloudStack:缺乏用户权限验证导致部分API数据泄露
概述
漏洞时间线
描述
在Apache CloudStack中,访问控制检查存在一个缺陷,影响了以下API:
createNetworkACLlistNetworkACLslistResourceDetailslistVirtualMachinesUsageHistorylistVolumesUsageHistory
虽然这些API仅对授权用户开放,但由于权限验证不足,用户偶尔可能访问到超出其预期范围的信息。
建议用户升级到Apache CloudStack 4.20.2.0或4.22.0.0版本,该版本修复了此问题。
信息
发布日期: 2025年11月27日 下午12:15 最后修改日期: 2025年11月27日 下午1:15 远程可利用性: 否 来源: security@apache.org
受影响的产品
以下产品受到CVE-2025-59454漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,以下表格中也不包含该信息。
暂无受影响产品记录
受影响供应商总数: 0 | 产品总数: 0
解决方案
升级Apache CloudStack至修复版本,以解决API访问控制问题。
- 升级到Apache CloudStack 4.20.2.0或4.22.0.0。
- 应用供应商提供的补丁或更新。
- 审查并强制执行API访问控制。
- 彻底测试访问控制。
咨询、解决方案和工具参考
此处提供了一系列与CVE-2025-59454相关的深度信息、实用解决方案和宝贵工具的外部链接精选列表。
| URL | 资源 |
|---|---|
| https://lists.apache.org/thread/0hlklvlwhzsfw39nocmyxb6svjbs9xbc | |
| http://www.openwall.com/lists/oss-security/2025/11/27/3 |
CWE - 通用弱点枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-59454与以下CWE相关联:
CWE-200:向未授权参与者暴露敏感信息
通用攻击模式枚举和分类(CAPEC)
通用攻击模式枚举和分类(CAPEC)存储了攻击模式,这些模式描述了对手利用CVE-2025-59454弱点所采用的常见属性和方法。
- CAPEC-13:颠覆环境变量值
- CAPEC-22:利用客户端信任
- CAPEC-59:通过预测会话凭据伪造
- CAPEC-60:重用会话ID(又称会话重放)
- CAPEC-79:在交替编码中使用斜杠
- CAPEC-116:挖掘
- CAPEC-169:足迹勘察
- CAPEC-224:指纹识别
- CAPEC-285:ICMP回显请求Ping
- CAPEC-287:TCP SYN扫描
- CAPEC-290:枚举邮件交换(MX)记录
- CAPEC-291:DNS区域传输
- CAPEC-292:主机发现
- CAPEC-293:Traceroute路由枚举
- CAPEC-294:ICMP地址掩码请求
- CAPEC-295:时间戳请求
- CAPEC-296:ICMP信息请求
- CAPEC-297:TCP ACK Ping
- CAPEC-298:UDP Ping
- CAPEC-299:TCP SYN Ping
- CAPEC-300:端口扫描
- CAPEC-301:TCP连接扫描
- CAPEC-302:TCP FIN扫描
- CAPEC-303:TCP Xmas扫描
- CAPEC-304:TCP Null扫描
- CAPEC-305:TCP ACK扫描
- CAPEC-306:TCP窗口扫描
- CAPEC-307:TCP RPC扫描
- CAPEC-308:UDP扫描
- CAPEC-309:网络拓扑映射
- CAPEC-310:扫描易受攻击的软件
- CAPEC-312:主动操作系统指纹识别
- CAPEC-313:被动操作系统指纹识别
- CAPEC-317:IP ID序列探测
- CAPEC-318:IP ‘ID’回显字节序探测
- CAPEC-319:IP(DF)‘不分片位’回显探测
- CAPEC-320:TCP时间戳探测
- CAPEC-321:TCP序列号探测
- CAPEC-322:TCP(ISN)最大公约数探测
- CAPEC-323:TCP(ISN)计数器速率探测
- CAPEC-324:TCP(ISN)序列可预测性探测
- CAPEC-325:TCP拥塞控制标志(ECN)探测
- CAPEC-326:TCP初始窗口大小探测
- CAPEC-327:TCP选项探测
- CAPEC-328:TCP ‘RST’标志校验和探测
- CAPEC-329:ICMP错误消息引用探测
- CAPEC-330:ICMP错误消息回显完整性探测
- CAPEC-472:浏览器指纹识别
- CAPEC-497:文件发现
- CAPEC-508:肩窥
- CAPEC-573:进程足迹勘察
- CAPEC-574:服务足迹勘察
- CAPEC-575:账户足迹勘察
- CAPEC-576:组权限足迹勘察
- CAPEC-577:所有者足迹勘察
- CAPEC-616:建立恶意位置
- CAPEC-643:识别系统上的共享文件/目录
- CAPEC-646:外围设备足迹勘察
- CAPEC-651:窃听
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公共漏洞利用和概念验证的集合(按最近更新排序)。
由于潜在的性能问题,结果限制在前15个仓库。
以下列表提到了文章中任何地方提及CVE-2025-59454漏洞的新闻。
由于潜在的性能问题,结果限制在前20篇新闻文章。
下表列出了CVE-2025-59454漏洞随时间发生的变化。
漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特性的最新更改。
CVE由 af854a3a-2127-422b-91ae-364da2661108 修改于 2025年11月27日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 已添加 | 参考 | http://www.openwall.com/lists/oss-security/2025/11/27/3 |
新CVE由 security@apache.org 接收于 2025年11月27日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 已添加 | 描述 | 在Apache CloudStack中,访问控制检查存在一个缺陷,影响了以下API:- createNetworkACL - listNetworkACLs - listResourceDetails - listVirtualMachinesUsageHistory - listVolumesUsageHistory 虽然这些API仅对授权用户开放,但由于权限验证不足,用户偶尔可能访问到超出其预期范围的信息。 建议用户升级到Apache CloudStack 4.20.2.0或4.22.0.0版本,该版本修复了此问题。 | |
| 已添加 | CWE | CWE-200 | |
| 已添加 | 参考 | https://lists.apache.org/thread/0hlklvlwhzsfw39nocmyxb6svjbs9xbc |
EPSS是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史记录。
漏洞评分详情
此漏洞暂无CVSS指标可用。