漏洞信息详情
Apache CloudStack 代码问题漏洞
- CNNVD编号:CNNVD-202207-1492
- 危害等级: 超危
- CVE编号: CVE-2022-35741
- 漏洞类型: 代码问题
- 发布时间: 2022-07-18
- 威胁类型: 远程
- 更新时间: 2022-07-26
- 厂 商:
- 漏洞来源:
漏洞简介
Apache CloudStack是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台。该平台主要用于部署和管理大型虚拟机网络。
Apache CloudStack 4.5.0 及更高版本存在安全漏洞,该漏洞源于Apache CloudStack 4.5.0 及更高版本具有SAML 2.0认证服务提供商插件,该插件被发现容易受到XML外部实体(XXE)注入的攻击,这个插件在默认情况下没有启用,攻击者需要启用这个插件才能利用这个漏洞。当在受影响的Apache CloudStack版本中启用SAML 2.0插件时,有可能允许利用XXE漏洞。在Apache CloudStack的认证流程中构建的SAML 2.0消息是基于XML的,XML数据由各种标准库解析,现在已知这些库容易受到XXE注入攻击,如任意读取文件、可能的拒绝服务、CloudStack管理服务器上的服务器端请求伪造(SSRF)。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f
参考网址
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2022/07/18/2
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2022/07/20/1
来源:MISC
链接:https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f
来源:cxsecurity.com
链接:https://cxsecurity.com/cveshow/CVE-2022-35741/
受影响实体
暂无
补丁
- Apache CloudStack 代码问题漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论