つみかさね

CVE-2026-25077

High(8.8)

CVE-2026-25077 — Apache CloudStack テンプレート経由のRCE

公開日: 2026-05-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache CloudStackApache Software Foundation< 4.20.3.0 / < 4.22.0.1

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Apache CloudStackのバージョンを確認する
  2. 2KVMハイパーバイザーを使用しているか確認する
  3. 34.20.3.0 / 4.22.0.1以降へアップデートする

影響対象

Apache CloudStack KVM利用者

補足

  • -KVM以外のハイパーバイザー環境は影響なし
CVEApache CloudStackRCEKVM

概要

Apache CloudStackにおいて、KVMハイパーバイザーを使用するインスタンスのデプロイ用テンプレートをプライマリストレージに直接ダウンロード登録する機能にファイル名サニタイズの不備があります。攻撃者が悪意あるテンプレートを登録することで、KVMホスト上で任意のコードを実行でき、CloudStackが管理するKVMベースインフラの完全性・機密性・可用性が損なわれる可能性があります。

CVSSベクトル

項目
CVSSスコア8.8(High)
CWECWE-94(コードインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル低(アカウントユーザー)

影響を受けるソフトウェア

  • Apache CloudStack: 4.20.3.0 未満、4.22.0.1 未満

修正バージョンと回避策

  • Apache CloudStack 4.20.3.0 または 4.22.0.1 以降へアップデートしてください
  • KVM以外のハイパーバイザーを使用している環境は影響を受けません

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2025-66172CloudStack Backupプラグイン不正アクセスCVSS 8.1

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-25077
Apache ML:https://lists.apache.org/thread/n8mt5b7wkpysstb8w7rr9f02kc5cq2xm
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。