В OpenStack Keystone обнаружена уязвимость. Эта уязвимость позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения авторизации. Это происходит потому, что OpenStack Keystone неправильно обрабатывает токены EC2 (Elastic Compute Cloud), когда роль пользователя была удалена из арендатора.
Злоумышленник может использовать токен, связанный с удаленной ролью пользователя, для получения несанкционированного доступа.
Показать оригинальное описание (EN)
A flaw was found in OpenStack Keystone. This vulnerability allows remote authenticated users to bypass intended authorization restrictions. This occurs because OpenStack Keystone does not properly handle EC2 (Elastic Compute Cloud) tokens when a user's role has been removed from a tenant. An attacker can leverage a token associated with a removed user role to gain unauthorized access.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openstack Essex
cpe:2.3:a:openstack:essex:2012.1:*:*:*:*:*:*:*
|
— | — |
|
Openstack Folsom
cpe:2.3:a:openstack:folsom:2012.2:*:*:*:*:*:*:*
|
— | — |