Se ha detectado una vulnerabilidad XXE injection que afecta al inicio de sesión en Apache Cloudstack, que permitiría a un atacante realizar lectura arbitraria de archivos y denegación de servicios en los servidores de Cloudstack.
La vulnerabilidad identificada como CVE-2022-35741, de severidad alta, sin puntuación asignada aún. Esta vulnerabilidad se debe a un error en el plugin del proveedor de servicios de autenticación (SAML 2.0). Esto permitiría a un atacante realizar lectura arbitraria de archivos y denegación de servicios en los servidores de Cloudstack.
Los productos afectados son:
- Apache CloudStack, versión 4.5.0 y posteriores.
Se recomienda acceder a la actualización en el siguiente enlace proporcionado por el proveedor:
Referencias: