Apache CloudStack 模板验证绕过漏洞CVE-2024-45219

漏洞描述：

Apache CloudStack是开源的基础设施即服务云计算软件,支持包括 KVM在内的多种虚拟化技术,受影响版本中，由于缺少对上传和注册的 KVM 兼容模板和存储卷的验证,在启用配额功能的情况下,攻击者可以通过上传或注册恶意模板或卷,部署恶意实例,或将上传的卷附加至现有KVM 实例上,从而利用该漏洞访问宿主机的文件系统,修复版本中,通过引入对QCOW2文件的严格验证机制防止外部文件引用以修复漏洞。

影响范围：

cloudstack 生态：linux

仓库类型unmanaged受影响的版本[4.19.0.0, 4.19.1.2)最小修复版本4.19.1.2

仓库类型unmanaged受影响的版本[4.0.0, 4.18.2.4)最小修复版本4.18.2.4

参考链接:
https://lists.apache.org/thread/ktsfjcnj22x4kg49ctock3d9tq7jnvlo

https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2/

原文始发于微信公众号（飓风网络安全）：【高危漏洞预警】Apache CloudStack 模板验证绕过漏洞CVE-2024-45219