Plattform
python
Komponente
keystone
Behoben in
26.1.1
27.0.0
28.0.0
29.0.0
26.1.1
CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.
CVE-2026-33551 betrifft OpenStack Keystone in den Versionen 14 bis 26 (mit Ausnahme von 26.1.1, 27.0.0, 28.0.0 und 29.0.0). Die Schwachstelle ermöglicht es eingeschränkten Anwendungsanmeldeinformationen, EC2-Anmeldeinformationen zu erstellen. Ein authentifizierter Benutzer mit nur einer Reader-Rolle kann eine EC2/S3-Anmeldeinformation erhalten, die den vollständigen Satz von S3-Berechtigungen des übergeordneten Benutzers enthält und so die Rollenbeschränkungen, die für die Anwendungsanmeldeinformationen gelten, effektiv umgeht. Dies kann zu unbefugtem Zugriff auf S3-Ressourcen führen und die Sicherheit der OpenStack-Infrastruktur gefährden. Eine erfolgreiche Ausnutzung erfordert, dass die Umgebung eingeschränkte Anwendungsanmeldeinformationen und die EC2-Anmeldeinformationserstellungs-API verwendet.
Die Schwachstelle wird ausgenutzt, indem die EC2-Anmeldeinformationserstellungs-API in Keystone verwendet wird. Ein Angreifer mit einem authentifizierten Benutzer, der eine Reader-Rolle besitzt, kann eingeschränkte Anwendungsanmeldeinformationen verwenden, um die Erstellung von EC2/S3-Anmeldeinformationen anzufordern. Aufgrund eines Fehlers bei der Berechtigungsvalidierung erben die resultierenden EC2/S3-Anmeldeinformationen den vollständigen Satz von Berechtigungen des übergeordneten Benutzers, wodurch der Angreifer Zugriff auf S3-Ressourcen erhält, auf die er normalerweise keinen Zugriff hätte. Die Komplexität der Ausnutzung ist relativ gering und erfordert nur Authentifizierung und Kenntnisse der API.
Exploit-Status
EPSS
0.02% (6% Perzentil)
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2026-33551 ist die Aktualisierung auf OpenStack Keystone Version 26.1.1 oder höher oder auf die Versionen 27.0.0, 28.0.0 oder 29.0.0. Diese Versionen enthalten Korrekturen, die die Erstellung von EC2-Anmeldeinformationen mit erhöhten Berechtigungen verhindern. Darüber hinaus wird empfohlen, die Anwendungsanmeldeinformationen zu überprüfen und deren Berechtigungen zu beschränken, um sicherzustellen, dass sie nur die minimal erforderlichen Privilegien für ihre Funktion haben. Die Überwachung der Keystone-Audit-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit der Erstellung von EC2-Anmeldeinformationen ist ebenfalls eine empfohlene Vorgehensweise.
Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad. Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Keystone-Versionen 14 bis 26 (mit Ausnahme von 26.1.1, 27.0.0, 28.0.0 und 29.0.0) sind anfällig für diese CVE.
Dies sind Anmeldeinformationen, die von Anwendungen anstelle von einzelnen Benutzern verwendet werden und über begrenzte Berechtigungen verfügen, um bestimmte Aufgaben auszuführen.
Überprüfen Sie die Keystone-Version, die Sie verwenden. Wenn sie im anfälligen Bereich liegt, ist eine Abhilfemaßnahme erforderlich.
Wenn Sie nicht sofort aktualisieren können, überprüfen und beschränken Sie die Berechtigungen der Anwendungsanmeldeinformationen und überwachen Sie die Audit-Protokolle.
Sie könnte zu unbefugtem Zugriff auf S3-Ressourcen führen und die Sicherheit der OpenStack-Infrastruktur gefährden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.