製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Apache Software FoundationのCloudStackにおける情報漏えいに関する脆弱性

タイトル	Apache Software FoundationのCloudStackにおける情報漏えいに関する脆弱性
概要	Proxmox拡張機能を介して展開されたインスタンスは、他のテナントに属するインスタンスへの不正アクセスを許可する脆弱性があります。この問題はApache CloudStackのバージョン4.21.0.0から4.22.0.0までに影響します。CloudStack用Proxmox拡張機能は、ユーザーが編集可能なインスタンス設定であるproxmox_vmidを不適切に使用し、CloudStackインスタンスをProxmox仮想マシンに関連付けています。この値はテナント所有権に対して制限や検証がされておらず、さらにProxmoxのVM IDは予測可能なため、権限のない攻撃者がこの設定を変更して別のアカウントに属するVMを参照させることが可能です。これにより、不正なクロステナントアクセスが発生し、対象のVMに対して起動、停止、破棄などのフルコントロールが可能となります。ユーザーはこの問題を修正したバージョン4.22.0.1へアップグレードすることを推奨します。既存のインストールに対する回避策として、ユーザーによるproxmox_vmidインスタンス詳細の編集を防止するために、この詳細名をグローバル設定パラメーターuser.vm.denied.detailsに追加できます。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月8日0:00
登録日	2026年5月11日11:12
最終更新日	2026年5月11日11:12

CVSS3.0 : 緊急
スコア	9.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

影響を受けるシステム

Apache Software Foundation

CloudStack 4.21.0.0 以上 4.22.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-25199	https://www.cve.org/CVERecord?id=CVE-2026-25199
National Vulnerability Database (NVD)
2	CVE-2026-25199	https://nvd.nist.gov/vuln/detail/CVE-2026-25199

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
Pony Mail
1	[ADVISORY] Apache CloudStack LTS Security Releases 4.20.3.0 and 4.22.0.1-Apache Mail Archives	https://lists.apache.org/thread/n8mt5b7wkpysstb8w7rr9f02kc5cq2xm

変更履歴

No	変更内容	変更日
1	[2026年05月11日] 掲載	2026年5月11日11:12

NVD脆弱性情報

CVE-2026-25199

概要	Instances deployed via the Proxmox extension allow unauthorized access to instances belonging to other tenants. This issue affects Apache CloudStack: from 4.21.0.0 through 4.22.0.0. The Proxmox extension for CloudStack improperly uses a user-editable instance setting, proxmox_vmid, to associate CloudStack instances with Proxmox virtual machines. Because this value is not restricted or validated against tenant ownership and Proxmox VM IDs are predictable, a non-privileged attacker can modify the setting to reference a VM belonging to another account. This allows unauthorized cross-tenant access and enables full control over the targeted VM, including starting, stopping, and destroying the virtual machine. Users are recommended to upgrade to version 4.22.0.1, which fixes this issue. As a workaround for the existing installations, editing of the proxmox_vmid instance detail by users can be prevented by adding this detail name to the global configuration parameter - user.vm.denied.details.
公表日	2026年5月8日22:16
登録日	2026年5月9日4:12
最終更新日	2026年5月9日16:16

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:cloudstack::::::::		4.21.0.0			4.22.0.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://lists.apache.org/thread/n8mt5b7wkpysstb8w7rr9f02kc5cq2xm	security@apache.org
2	http://www.openwall.com/lists/oss-security/2026/05/09/7	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧