7*24小时技术支持
海外CN2服务器(客服1)
近日,我司应急团队监测到Apache发布安全公告,修复了一个存在于Apache CloudStack中的XML 外部实体 (XXE) 注入漏洞。Apache CloudStack 4.5.0 及更高版本具有 SAML 2.0 身份验证服务提供程序插件,该插件被发现容易受到 XML 外部实体 (XXE) 注入的攻击。默认情况下未启用此插件,攻击者需要启用此插件才能利用该漏洞。在受影响的 Apache CloudStack 版本中启用 SAML 2.0 插件时,可能会允许利用 XXE 漏洞。攻击者可以利用该漏洞对CloudStack管理服务器进行任意文件读取、造成拒绝服务条件或执行服务器端请求伪造(SSRF)攻击。
【受影响版本】
4.5.0 <= Apache CloudStack < 4.16.1.1
4.17.0.0 <= Apache CloudStack < 4.17.0.1
【安全版本】
Apache CloudStack >= 4.16.1.1
Apache CloudStack >= 4.17.0.1
CloudStack是一个开源的具有高可用性及扩展性的云计算平台。
Copyright 2009-2022 HKBGP Network
