发布日期：2022-07-18
更新日期：2022-09-09

受影响系统：

Apache Apache CloudStack >= 4.5.0

描述：

---

CVE(CAN) ID: CVE-2022-35741

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。
Apache CloudStack 4.5.0及之后版本的身份认证服务提供程序插件存在XML外部实体注入漏洞。攻击者可利用该漏洞执行XXE注入攻击，如：任意文件读取、拒绝服务、服务器端请求伪造等。

<*链接：https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2022-35741）以及相应补丁:
CVE-2022-35741：[ADVISORY] Apache CloudStack SAML Single Sign-On XXE (CVE-2022-35741)
链接：https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f

浏览次数：642
严重程度：0（网友投票）