-
首页
-
>
安全漏洞
-
>
Apache CloudStack 安全漏洞
Apache CloudStack 安全漏洞
| CNNVD-ID编号 |
CNNVD-202207-1492 |
CVE编号 |
CVE-2022-35741 |
| 发布时间 |
2022-07-18 |
更新时间 |
2022-07-19 |
| 漏洞类型 |
其他 |
漏洞来源 |
N/A |
| 危险等级 |
N/A |
威胁类型 |
N/A |
| 厂商 |
N/A |
漏洞介绍
Apache CloudStack是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台。该平台主要用于部署和管理大型虚拟机网络。
Apache CloudStack 4.5.0 及更高版本存在安全漏洞,该漏洞源于Apache CloudStack 4.5.0 及更高版本具有SAML 2.0认证服务提供商插件,该插件被发现容易受到XML外部实体(XXE)注入的攻击,这个插件在默认情况下没有启用,攻击者需要启用这个插件才能利用这个漏洞。当在受影响的Apache CloudStack版本中启用SAML 2.0插件时,有可能允许利用XXE漏洞。在Apache CloudStack的认证流程中构建的SAML 2.0消息是基于XML的,XML数据由各种标准库解析,现在已知这些库容易受到XXE注入攻击,如任意读取文件、可能的拒绝服务、CloudStack管理服务器上的服务器端请求伪造(SSRF)。
漏洞补丁
目前厂商已发布升级了Apache CloudStack 安全漏洞的补丁,Apache CloudStack 安全漏洞的补丁获取链接:
https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f
参考网址
受影响实体
信息来源
计算
安全
数据库
网络和加速
企业服务
