CVE-2016-6813
https://notcve.org/view.php?id=CVE-2016-6813
Apache CloudStack 4.1 to 4.8.1.0 and 4.9.0.0 contain an API call designed to allow a user to register for the developer API. If a malicious user is able to determine the ID of another (non-"root") CloudStack user, the malicious user may be able to reset the API keys for the other user, in turn accessing their account and resources. Apache CloudStack 4.1 a 4.8.1.0 y 4.9.0.0 contiene una llamada API diseñada para permitir a un usuario registrarse en la API del desarrollador. Si un usuario malicioso es capaz de determinar el ID de otro usuario (non-"root") de CloudStack, el usuario malicioso podría restrablecer las claves API para el otro usuario, pudiendo acceder a su cuenta y recursos. • http://mail-archives.apache.org/mod_mbox/www-announce/201610.mbox/%3CCAJtfqCupOYQoNY2BNx86_zauses_MpmpiX8WciO_DEaWp6uNig%40mail.gmail.com%3E http://www.securityfocus.com/bid/93945 https://s.apache.org/qV5l •
CVE-2016-3085
https://notcve.org/view.php?id=CVE-2016-3085
Apache CloudStack 4.5.x before 4.5.2.1, 4.6.x before 4.6.2.1, 4.7.x before 4.7.1.1, and 4.8.x before 4.8.0.1, when SAML-based authentication is enabled and used, allow remote attackers to bypass authentication and access the user interface via vectors related to the SAML plugin. Apache CloudStack 4.5.x en versiones anteriores a 4.5.2.1, 4.6.x en versiones anteriores a 4.6.2.1, 4.7.x en versiones anteriores a 4.7.1.1 y 4.8.x en versiones anteriores a 4.8.0.1, cuando la autenticación SAML-based está activa y en uso, permiten a atacantes remotos eludir la autenticación y acceder a la interfaz de usuario a través de vectores relacionados con el plugin SAML. • http://packetstormsecurity.com/files/137390/Apache-CloudStack-4.5.0-Authentication-Bypass.html http://www.securityfocus.com/archive/1/538636/100/0/threaded • CWE-254: 7PK - Security Features CWE-287: Improper Authentication •
CVE-2015-3251
https://notcve.org/view.php?id=CVE-2015-3251
Apache CloudStack before 4.5.2 might allow remote authenticated administrators to obtain sensitive password information for root accounts of virtual machines via unspecified vectors related to API calls. Apache CloudStack en versiones anteriores a 4.5.2 podría permitir a administradores remotos autenticados obtener información de contraseña sensible para cuentas root de máquinas virtuales a través de vectores no especificados relacionado con llamadas API. • http://mail-archives.apache.org/mod_mbox/cloudstack-users/201602.mbox/%3C94DD4CB4-F718-4F79-A934-3D677E497114%40gmail.com%3E http://www.securityfocus.com/archive/1/537458/100/0/threaded https://blogs.apache.org/cloudstack/entry/two_late_announced_security_advisories • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-3252
https://notcve.org/view.php?id=CVE-2015-3252
Apache CloudStack before 4.5.2 does not properly preserve VNC passwords when migrating KVM virtual machines, which allows remote attackers to gain access by connecting to the VNC server. Apache CloudStack en versiones anteriores a 4.5.2 no conserva adecuadamente las contraseñas VNC al migrar máquinas virtuales KVM, lo que permite a atacantes remotos obtener acceso mediante la conexión al servidor VNC. • http://mail-archives.apache.org/mod_mbox/cloudstack-users/201602.mbox/%3C7508580E-3D83-49FD-BE6E-B329B0503130%40gmail.com%3E http://www.securityfocus.com/archive/1/537459/100/0/threaded https://blogs.apache.org/cloudstack/entry/two_late_announced_security_advisories • CWE-255: Credentials Management Errors •