漏洞信息详情

Apache CloudStack 代码问题漏洞

• CNNVD编号：CNNVD-202207-1492
• 危害等级： 超危
  
• CVE编号： CVE-2022-35741
• 漏洞类型： 代码问题
• 发布时间： 2022-07-18
• 威胁类型： 远程
• 更新时间： 2022-07-26
• 厂        商：
• 漏洞来源：

漏洞简介

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。

Apache CloudStack 4.5.0 及更高版本存在安全漏洞，该漏洞源于Apache CloudStack 4.5.0 及更高版本具有SAML 2.0认证服务提供商插件，该插件被发现容易受到XML外部实体(XXE)注入的攻击，这个插件在默认情况下没有启用，攻击者需要启用这个插件才能利用这个漏洞。当在受影响的Apache CloudStack版本中启用SAML 2.0插件时，有可能允许利用XXE漏洞。在Apache CloudStack的认证流程中构建的SAML 2.0消息是基于XML的，XML数据由各种标准库解析，现在已知这些库容易受到XXE注入攻击，如任意读取文件、可能的拒绝服务、CloudStack管理服务器上的服务器端请求伪造（SSRF）。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f

参考网址

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2022/07/18/2

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2022/07/20/1

来源:MISC

链接:https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f

来源:cxsecurity.com

链接:https://cxsecurity.com/cveshow/CVE-2022-35741/

受影响实体

暂无

补丁

• Apache CloudStack 代码问题漏洞的修复措施