漏洞描述
Apache CloudStack是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台。该平台主要用于部署和管理大型虚拟机网络。 Apache CloudStack 4.16.1.0之前版本 存在安全漏洞,该漏洞源于Apache CloudStack 不安全的随机数生成影响项目电子邮件邀请。如果仅基于电子邮件地址创建项目邀请,则会生成随机令牌。该漏洞允许攻击者生成时间确定性令牌,并在合法接收者接受邀请之前暴力使用它们。默认情况下不启用此功能,除了邀请令牌之外,攻击者还需要知道或猜测邀请的项目 ID,并且攻击者必须是 CloudStack 的现有授权用户。