【漏洞通告】Apache CloudStack身份验证绕过漏洞（CVE-2024-41107）

文章预览

一、漏洞 概述 漏洞名称  Apache CloudStack身份验证绕过漏洞 CVE   ID CVE-2024-41107 漏洞类型 身份验证绕过 发现时间 2024-07-22 漏洞评分 8.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache CloudStack是一个开源的云计算平台，旨在为用户提供功能强大的云计算环境，涵盖计算、存储、网络等资源的管理和服务。 2024年7月22日，启明星辰集团VSRC监测到Apache CloudStack中存在一个身份验证绕过漏洞（CVE-2024-41107），该漏洞的CVSS评分为8.1。 当在CloudStack中启用SAML 身份验证时（默认禁用），由于CloudStack SAML 身份验证不强制执行签名检查，威胁者可以通过发起CloudStack的SAML单点登录（SSO）认证，提交包含相关用户信息（如启用了SAML认证的CloudStack账户用户名和其他详细信息）的伪造且未签名的SAML响应来绕过SAML身 ………………………………