Apache CloudStack请求来源验证绕过漏洞 CVE-2024-45693

漏洞描述:
Apache CloudStack是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。

在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提交恶意的CSRF请求,这种攻击方式可能导致用户账户被接管、服务中断、敏感数据泄露等安全隐患。

修复版本中,通过新增cookiePathRewrite参数确保cookie在正确的路径下可用,以修复漏洞。

影响范围:
cloudstack 生态：linux
仓库类型unmanaged受影响的版本[4.15.1.0, 4.18.2.4)最小修复版本4.18.2.4
仓库类型unmanaged受影响的版本[4.19.0.0, 4.19.1.2)最小修复版本4.19.1.2

参考链接：
https://cloudstack.apache.org/blog/security-release-advisory-4.18.2.4-4.19.1.2/