Apache CloudStack LTS 安全漏洞总结 漏洞概述 Apache CloudStack 发布了 LTS 版本 4.20.3.0 和 4.22.0.1,修复了多个安全漏洞。主要漏洞包括: 1. CVE-2025-66170:CloudStack Backup 插件存在不正确的授权逻辑,允许用户列出他们不应访问的备份。 2. CVE-2025-66171:CloudStack Backup 插件存在不正确的授权逻辑,允许用户从他们不应访问的备份创建新的虚拟机。 3. CVE-2025-66172:CloudStack Backup 插件存在不正确的访问逻辑,允许用户从其他用户的备份中恢复卷并附加到自己的虚拟机。 4. CVE-2025-66467:MinIO 策略清理在通过 Apache CloudStack 进行桶删除时缺失,允许用户保留对之前拥有的桶的访问权限。 5. CVE-2025-69233:由于资源计数检查和增量逻辑中的竞态条件,域/账户资源限制未被尊重,允许用户超出分配的资源限制。 6. CVE-2026-25077:由于缺少文件名消毒,攻击者可以注册恶意模板并在 KVM 主机上执行任意代码。 7. CVE-2026-25199:Proxmox 扩展错误地使用了用户可编辑的实例设置,允许非特权攻击者修改设置以引用属于另一个账户的虚拟机。 影响范围 CVE-2025-66170, CVE-2025-66171, CVE-2025-66172:影响 Apache CloudStack 4.21.0.0 到 4.22.0.0。 CVE-2025-66467:影响 Apache CloudStack 4.19.0.0 到 4.20.2.0 和 4.21.0.0 到 4.22.0.0。 CVE-2025-69233:影响 Apache CloudStack 4.0.0 到 4.20.2.0 和 4.21.0.0 到 4.22.0.0。 CVE-2026-25077:影响 Apache CloudStack 4.11.0 到 4.20.2.0 和 4.21.0.0 到 4.22.0.0。 CVE-2026-25199:影响 Apache CloudStack 4.21.0.0 到 4.22.0.0。 修复方案 CVE-2025-66170, CVE-2025-66171, CVE-2025-66172, CVE-2026-25199:建议升级到版本 4.22.0.1 或更高版本。 CVE-2025-66467, CVE-2025-69233, CVE-2026-25077:建议升级到版本 4.20.3.0 或 4.22.0.1 或更高版本。 临时解决方案 对于现有安装,可以通过将 添加到全局配置参数来防止 Proxmox 实例细节被编辑。 下载和文档 官方源代码可在 Apache CloudStack 下载页面 获取。 4.22.0.1 版本说明可在 此处 找到。 各个发行版包可在 Apache CloudStack 下载页面 获取。