OpenNebula heeft een kritieke kwetsbaarheid ontdekt, aangeduid als CVE-2025-54955, die zowel de Community Edition voor versie 7.0.0 als de Enterprise Edition voor versie 6.10.3 betreft. Door een race conditie in FireEdge kan een ongeauthenticeerde aanvaller een geldige JSON Web Token (JWT) verkrijgen, wat kan leiden tot volledige accountovername zonder dat inloggegevens bekend zijn.
Dit beveiligingslek, geïdentificeerd als een race conditie (CWE-362), stelt aanvallers in staat ongeoorloofde toegang tot accounts te krijgen. Met een CVSS-score van 8.1 is de impact hoog, waardoor directe actie noodzakelijk is.
Overzicht
De kwetsbaarheid bevindt zich in het behandelmechanisme van gedeelde bronnen zonder juiste synchronisatie in OpenNebula’s FireEdge.
Aanbevelingen
- Upgrade OpenNebula Community Edition naar versie 7.0.0 of hoger om de kwetsbaarheid te mitigeren.
- Voor OpenNebula Enterprise Edition, zorg dat de versie minimaal 6.10.3 is of hoger.
Bronnen
- OpenNebula GitHub Repository
- OpenNebula Account Takeover Exploit
- Release Notes voor OpenNebula 6.10.3
- OpenNebula 7.0.0 Release
Vraag en Antwoord
Wat is CVE-2025-54955?
CVE-2025-54955 is een beveiligingsprobleem in OpenNebula waarbij een race conditie kan leiden tot volledige accountovername.
Welke systemen zijn kwetsbaar voor CVE-2025-54955?
De kwetsbare systemen zijn OpenNebula Community Edition versies voor 7.0.0 en Enterprise Edition versies voor 6.10.3.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn updates beschikbaar. Update naar minimaal versie 7.0.0 voor de Community Edition en 6.10.3 voor de Enterprise Edition.
Wat kan een aanvaller met deze kwetsbaarheid?
Met deze kwetsbaarheid kan een aanvaller een JWT verkrijgen en een volledige accountovername uitvoeren zonder inloggegevens.
