【漏洞预警】Apache CloudStack请求来源验证绕过漏洞 CVE-2024-45693

文章预览

漏洞描述: Apache CloudStack是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。 在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提交恶意的CSRF请求,这种攻击方式可能导致用户账户被接管、服务中断、敏感数据泄露等安全隐患。 修复版本中,通过新增cookiePathRewrite参数确保cookie在正确的路径下可用,以修复漏洞。 影响范围: cloudstack 生态：linux 仓库类型unmanaged受影响的版本[4.15.1.0, 4.18.2.4)最小修复版本4.18.2.4 仓库类型unmanaged受影响的版本[4.19.0.0, 4.19.1.2)最小修复版本4.19.1.2 参考链接： https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2/ ………………………………