Apache CloudStack 漏洞列表

The CloudStack SAML authentication (disabled by default) does not enforce signature check. In CloudStack environments where SAML authentication is enabled, an attacker that initiates CloudStack SAML single sign-on authentication can bypass SAML authentication by submitting a spoofed SAML response with no signature and known or guessed username and other user details of a SAML-enabled CloudStack user-account

Apache CloudStack 初始化不当漏洞

Apache CloudStack 未授权 命令注入漏洞

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。 Apache CloudStack 4.18.2.1和4.19.0.2之前版本存在代码注入漏洞，该漏洞源于在未经身份验证的端口上运行时，该端口可能被滥用来在目标虚拟机管理程序和管理服务器主机上运行任意命令。其中一些命令具有命令注入漏洞，可能导致通过可能以特权用户身份运行的主机上的代理执行任意代码。

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。 Apache CloudStack 4.16.1.0之前版本 存在安全漏洞，该漏洞源于Apache CloudStack 不安全的随机数生成影响项目电子邮件邀请。如果仅基于电子邮件地址创建项目邀请，则会生成随机令牌。该漏洞允许攻击者生成时间确定性令牌，并在合法接收者接受邀请之前暴力使用它们。默认情况下不启用此功能，除了邀请令牌之外，攻击者还需要知道或猜测邀请的项目 ID，并且攻击者必须是 CloudStack 的现有授权用户。

Apache CloudStack是美国阿帕奇软件（Apache Software）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。 Apache CloudStack 4.13.1之前版本中的baremetal组件存在输入验证错误漏洞，该漏洞源于程序没有正确验证baremetal虚拟路由中的‘mac’参数。攻击者可利用该漏洞执行任意shell命令。

Apache CloudStack是美国阿帕奇（Apache）软件基金会的一套开源的云计算软件。该软件可用于部署、管理、配置公共和私有云（IaaS）。 Apache CloudStack 4.5.1版本和4.4.4版本中存在安全漏洞。远程攻击者可利用该漏洞获取虚拟机中的root账户的密码信息。

Apache CloudStack是美国阿帕奇（Apache）软件基金会的一套开源的云计算软件。该软件可用于部署、管理、配置公共和私有云（IaaS）。 Apache CloudStack 4.5.1及之前版本中存在安全漏洞，该漏洞源于程序转移KVM虚拟机时没有正确保存VNC密码。远程攻击者可通过连接VNC服务器利用该漏洞获取访问权限。

Apache CloudStack是美国阿帕奇（Apache）软件基金会的一套开源的云计算软件。该软件可用于部署、管理、配置公共和私有云（IaaS）。 Apache CloudStack 4.3.2之前4.3.x版本和4.4.2之前4.4.x版本中存在安全漏洞。远程攻击者可借助无密码的登录请求利用该漏洞绕过身份验证。

Apache CloudStack和Citrix CloudPlatform（前称Citrix CloudStack）都是云计算软件。Apache CloudStack是美国阿帕奇（Apache）软件基金会的产品；Citrix CloudPlatform是美国思杰系统（Citrix Systems）公司的产品。 Apache CloudStack 4.0.2之前的4.0.0版本和Citrix CloudPlatform 3.0.6 Patch C之前的3.0.x版本中存在安全漏洞。远程攻击者可通过已知的源代码利用该漏洞绕过控制台代理身份验证。

Apache CloudStack和Citrix CloudPlatform（前称Citrix CloudStack）都是云计算软件。Apache CloudStack是美国阿帕奇（Apache）软件基金会的产品；Citrix CloudPlatform是美国思杰系统（Citrix Systems）公司的产品。 Apache CloudStack 4.0.2之前的4.0.0版本和Citrix CloudPlatform 3.0.6 Patch C之前的3.0.x版本中存在安全漏洞，该漏洞源于当生成虚拟机控制台的URL时，程序使用可预测序列的散列值。远程攻击者可通过实施暴力攻击利用该漏洞绕过访问限制获取控制台访问权限。

CloudStack是美国阿帕奇（Apache）软件基金会的一套开源的云计算软件。该软件可用于部署、管理、配置公共和私有云（IaaS）。 Apache CloudStack 4.1.1之前版本中存在多个跨站脚本漏洞。远程攻击者可通过使用特制的文本字段注入到恶意的脚本，利用这些漏洞漏洞注入任意Web脚本或HTML代码。

CloudStack是美国阿帕奇（Apache）软件基金会的一套开源的云计算软件。该软件可用于部署、管理、配置公共和私有云（IaaS）。 Apache CloudStack 4.0.0-incubating和Citrix CloudPlatform (formerly Citrix CloudStack) 3.0.6之前版本中存在漏洞，该漏洞源于log4j.conf日志文件中存储敏感信息。本地攻击者利用该漏洞获得(1)被createSSHKeyPair API记录的SSH私钥，(2)被AddHost API记录的已添加的主机密码，或被(3)DeployVM或(4)ResetPasswordForVM API所记录的已添加的VM密码。

Citrix Cloud.com CloudStack和Apache CloudStack pre-release中存在漏洞。远程攻击者利用系统用户账户，使得任意API被调用，如API调用来删除VMs。