近日,我司监测到Apache发布安全公告,修复了一个存在于Apache CloudStack中的XML外部实体(XXE)注入漏洞。Apache CloudStack 4.5.0及更高版本具有SAML 2.0身份验证服务提供程序插件,该插件被发现容易受到XML外部实体(XXE)注入的攻击。默认情况下未启用此插件,攻击者需要启用此插件才能利用该漏洞。在受影响的Apache CloudStack版本中启用SAML 2.0插件时,可能会允许利用XXE漏洞。攻击者可以利用该漏洞对CloudStack管理服务器进行任意文件读取、造成拒绝服务或执行服务器端请求伪造(SSRF)攻击。
apache CloudStack是一个开源的具有高可用性及扩展性的云计算平台。
影响版本:
安全版本:
修复建议:
官方已发布安全版本,请及时下载更新,下载地址:
http://download.cloudstack.org/
评论已关闭。