Vulnerabilities ›

CVE-2025-66467

High

CWE-459 — Weakness Type

                    Published: May 8, 2026                      ·  Modified: May 15, 2026                      ·  Source: NVD                

CVSS v3

8.0

🔗 NVD Official

📄 Description (English)

Missing MinIO policy cleanup on bucket deletion via Apache CloudStack allows users to retain access to buckets which they previously owned. If another user creates a new bucket with the same name, the previous owners can gain unauthorized read and write access to it by using the previously generated access and secret keys.

Users are recommended to upgrade to Apache CloudStack versions 4.20.3.0 or 4.22.0.1, or later, which fixes this issue.

🤖 AI Executive Summary

Apache CloudStack fails to clean up MinIO bucket policies when buckets are deleted, allowing previous owners to retain unauthorized access through old credentials. If a new user creates a bucket with the same name, the previous owner can exploit this to gain read/write access to the new bucket.

📄 Description (Arabic)

يحتوي Apache CloudStack على ثغرة في معالجة حذف المجلدات حيث لا يتم تنظيف سياسات MinIO بشكل صحيح. هذا يسمح للمستخدمين السابقين بالاحتفاظ بإمكانية الوصول إلى المجلدات المحذوفة من خلال بيانات اعتماد قديمة. عندما ينشئ مستخدم جديد مجلداً بنفس الاسم، يمكن للمالك السابق الوصول إليه بشكل غير مصرح به.

🤖 ملخص تنفيذي (AI)

Apache CloudStack لا يقوم بتنظيف سياسات MinIO عند حذف المجلدات، مما يسمح للمالكين السابقين بالاحتفاظ بالوصول غير المصرح به من خلال بيانات اعتماد قديمة. إذا قام مستخدم جديد بإنشاء مجلد بنفس الاسم، يمكن للمالك السابق استغلال هذا للحصول على وصول القراءة والكتابة.

🤖 AI Intelligence Analysis Analyzed: May 12, 2026 18:23

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

energy government healthcare banking telecom

🎯 MITRE ATT&CK Techniques

T1078 T1199 T1087

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Apache CloudStack to version 4.20.3.0, 4.22.0.1 or later immediately. Implement access key rotation policies and audit all bucket access logs for unauthorized activities. Review and revoke any access keys associated with deleted buckets.

🔧 خطوات المعالجة (العربية)

قم بترقية Apache CloudStack إلى الإصدار 4.20.3.0 أو 4.22.0.1 أو أحدث فوراً. طبق سياسات تدوير مفاتيح الوصول وقم بمراجعة جميع سجلات الوصول للمجلدات للأنشطة غير المصرح بها. قم بمراجعة وإلغاء أي مفاتيح وصول مرتبطة بالمجلدات المحذوفة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://lists.apache.org/thread/n8mt5b7wkpysstb8w7rr9f02kc5cq2xm

security@apache.org

Mailing List Vendor Advisory

🔗

http://www.openwall.com/lists/oss-security/2026/05/09/4

af854a3a-2127-422b-91ae-364da2661108

Mailing List Third Party Advisory

📦 Affected Products / CPE 2 entries

apache:cloudstack

📊 CVSS Score

8.0

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.0

CWECWE-459

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-05-08

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-459

🏢 Vendor Advisories

🔗 https://lists.apache.org/thread/n8mt5b7wkpysstb8w7rr...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-66467

Introduce Yourself

Sign In Required