Missing MinIO policy cleanup on bucket deletion via Apache CloudStack allows users to retain access to buckets which they previously owned. If another user creates a new bucket with the same name, the previous owners can gain unauthorized read and write access to it by using the previously generated access and secret keys.
Users are recommended to upgrade to Apache CloudStack versions 4.20.3.0 or 4.22.0.1, or later, which fixes this issue.
Apache CloudStack fails to clean up MinIO bucket policies when buckets are deleted, allowing previous owners to retain unauthorized access through old credentials. If a new user creates a bucket with the same name, the previous owner can exploit this to gain read/write access to the new bucket.
يحتوي Apache CloudStack على ثغرة في معالجة حذف المجلدات حيث لا يتم تنظيف سياسات MinIO بشكل صحيح. هذا يسمح للمستخدمين السابقين بالاحتفاظ بإمكانية الوصول إلى المجلدات المحذوفة من خلال بيانات اعتماد قديمة. عندما ينشئ مستخدم جديد مجلداً بنفس الاسم، يمكن للمالك السابق الوصول إليه بشكل غير مصرح به.
Apache CloudStack لا يقوم بتنظيف سياسات MinIO عند حذف المجلدات، مما يسمح للمالكين السابقين بالاحتفاظ بالوصول غير المصرح به من خلال بيانات اعتماد قديمة. إذا قام مستخدم جديد بإنشاء مجلد بنفس الاسم، يمكن للمالك السابق استغلال هذا للحصول على وصول القراءة والكتابة.
Upgrade Apache CloudStack to version 4.20.3.0, 4.22.0.1 or later immediately. Implement access key rotation policies and audit all bucket access logs for unauthorized activities. Review and revoke any access keys associated with deleted buckets.
قم بترقية Apache CloudStack إلى الإصدار 4.20.3.0 أو 4.22.0.1 أو أحدث فوراً. طبق سياسات تدوير مفاتيح الوصول وقم بمراجعة جميع سجلات الوصول للمجلدات للأنشطة غير المصرح بها. قم بمراجعة وإلغاء أي مفاتيح وصول مرتبطة بالمجلدات المحذوفة.