关于Apache CloudStack 在同一域中用户的API/秘密键的不安全访问（CVE-2025-47849）的安全预警

一、 基本情况

Apache CloudStack 是一款开源的云计算管理平台，被广泛应用于构建私有云、公有云和混合云环境。它支持多种虚拟化平台，如 KVM、VMware 和 XenServer，具备强大的资源调度和管理能力。CloudStack 提供用户、角色和权限的精细化控制，并支持多租户架构与 API 访问，适用于企业级云服务部署。然而，近期披露的安全漏洞表明，在特定条件下，其权限模型存在设计缺陷，可能被恶意用户利用以获取高权限账户的关键信息，进而危及云平台整体安全。

二、 漏洞描述

根据官方披露的信息，在 Apache CloudStack 4.10.0.0 至 4.20.0.0 版本中，存在一个权限提升漏洞（CVE-2025-47849）。具体而言，ROOT 域中的恶意 Domain Admin 用户可以通过不受限制的 API 操作，获取同一域内具有 Admin 角色的用户的 API Key 和 Secret Key。这一行为未受到应有的访问控制限制，从而使攻击者具备伪造目标 Admin 用户身份的能力。一旦成功获取目标账户的密钥，攻击者即可访问其权限范围内的所有 API 接口，进而对云平台的资源进行未授权操作。这种攻击方式不需要用户交互，且攻击路径为远程网络，攻击复杂度低，造成的潜在影响包括数据泄露、系统完整性破坏、资源滥用、拒绝服务等，严重威胁整个云平台的安全性与稳定性。

三、 影响范围

4.10.0.0 <= Apache CloudStack <= 4.20.0.0

四、 修复建议

目前，Apache 官方已发布安全更新版本 4.19.3.0 与 4.20.1.0，修复了该漏洞。建议使用受影响版本的用户尽快升级至以上任一版本。

五、 参考链接

https://cloudstack.apache.org/blog/cve-advisories-4.19.3.0-4.20.1.0/

https://lists.apache.org/thread/y3qnwn59t8qggtdohv7k7vw39bgb3d60