【漏洞预警】Apache CloudStack初始化不当漏洞 (CVE-2024-39864)

文章预览

漏洞详情: Apache CloudStack是一个开源的具有高可用性及扩展性的云计算平台,同时是一个开源云计算解决方案,Apache CloudStack集成API服务允许运行其未经身份验证的API服务器（通常在通过integration.api.port全局设置配置和启用时使用8096端口）进行内部门户集成和测试。 默认情况下,集成API服务端口处于禁用状态,并且当integration.api.port设置为0或负数时,认为该端口处于禁用状态。由于不正确的初始化逻辑,当其端口值设置为0（默认值）时，集成API服务将侦听随机端口,能够访问CloudStack管理网络的攻击者可以扫描并找到随机化的集成API服务端口,并利用它执行未经授权的管理操作,在CloudStack托管主机上执行远程代码执行,导致CloudStack托管基础设施的机密性、完整性和可用性完全受到破坏。 修复方案: 厂商已发布补丁修复漏洞,用户请尽快更新至安全版本: Apache CloudStac ………………………………