CVE-2024-45693：Apache CloudStack：请求来源验证绕过使账户接管成为可能

admin

140350
文章

117
评论

2024年10月16日18:08:07评论19 views字数 609阅读2分1秒阅读模式

CVE-2024-45693：Apache CloudStack：请求来源验证绕过使账户接管成为可能严重程度：重要

受影响的版本：

Apache CloudStack 4.15.1.0 至 4.18.2.3
Apache CloudStack 4.19.0.0 至 4.19.1.1

描述：

由于缺少对请求来源的验证，登录 Apache CloudStack Web 界面的用户可能会被诱骗提交恶意 CSRF 请求。这可能使攻击者获得特权并访问经过身份验证的用户的资源，并可能导致帐户被接管、中断、敏感数据泄露以及平台管理的用户帐户所拥有的资源的完整性受损。

此问题影响 Apache CloudStack 4.15.1.0 至 4.18.2.3 和 4.19.0.0 至 4.19.1.1 版本

建议用户升级到 Apache CloudStack 4.18.2.4 或 4.19.1.2 或更高版本，以解决此问题。

参考：

https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2 https://lists.apache.org/thread/ktsfjcnj22x4kg49ctock3d9tq7jnvlo https://cloudstack.apache.org/ https：//www.cve.org/CVERecord?id=CVE-2024-45693

原文始发于微信公众号（独眼情报）：CVE-2024-45693：Apache CloudStack：请求来源验证绕过使账户接管成为可能

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2024年10月16日18:08:07
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
CVE-2024-45693：Apache CloudStack：请求来源验证绕过使账户接管成为可能https://cn-sec.com/archives/3275590.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

CVE-2024-45693：Apache CloudStack：请求来源验证绕过使账户接管成为可能

描述：

参考：

随着全球紧张局势加剧，针对能源行业的网络威胁激增

俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS，高价值目标面临数据窃取危机

网安原创文章推荐【2025/5/8】

曹县恶意软件 OtterCookie 升级，新增 Windows、Linux 和 macOS 功能

网络犯罪分子使用CoGUI钓鱼工具包攻击日本

谷歌警告：俄 APT 组织Star Blizzard利用 ClickFix 部署新型 LostKeys 恶意软件

思科发布IOS XE无线控制器中的关键漏洞更新

LockBit勒索软件运营网站遭入侵，内部数据库遭泄露

开始菜单跳转列表失效谜案告破！微软静默修复，详解幕后 CFR 机制利弊

【暗网快讯】20250509期

发表评论

在线咨询

微信