Plateforme
python
Composant
keystone
Corrigé dans
26.1.1
27.0.0
28.0.0
29.0.0
26.1.1
CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.
La CVE-2026-33551 affecte OpenStack Keystone dans les versions 14 à 26 (à l'exclusion de 26.1.1, 27.0.0, 28.0.0 et 29.0.0). Cette vulnérabilité permet aux identifiants d'application restreints de créer des identifiants EC2. Un utilisateur authentifié disposant uniquement d'un rôle de lecteur peut obtenir un identifiant EC2/S3 qui porte l'ensemble complet des autorisations S3 de l'utilisateur parent, contournant ainsi efficacement les restrictions de rôle imposées à l'identifiant de l'application. Cela peut entraîner un accès non autorisé aux ressources S3, compromettant la sécurité de l'infrastructure OpenStack. L'exploitation réussie nécessite que l'environnement utilise des identifiants d'application restreints et l'API de création d'identifiants EC2.
La vulnérabilité est exploitée en utilisant l'API de création d'identifiants EC2 dans Keystone. Un attaquant disposant d'un utilisateur authentifié possédant un rôle de lecteur peut utiliser un identifiant d'application restreint pour demander la création d'identifiants EC2/S3. En raison d'une défaillance de validation des autorisations, les identifiants EC2/S3 résultants hériteront de l'ensemble complet des autorisations de l'utilisateur parent, permettant à l'attaquant d'accéder aux ressources S3 auxquelles il n'aurait normalement pas accès. La complexité de l'exploitation est relativement faible, ne nécessitant que l'authentification et la connaissance de l'API.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
Vecteur CVSS
L'atténuation principale de la CVE-2026-33551 consiste à mettre à niveau vers OpenStack Keystone version 26.1.1 ou ultérieure, ou vers les versions 27.0.0, 28.0.0 ou 29.0.0. Ces versions incluent des correctifs qui empêchent la création d'identifiants EC2 avec des autorisations accrues. De plus, il est recommandé de revoir et de limiter les autorisations attribuées aux identifiants d'application, en veillant à ce qu'ils disposent du privilège minimum nécessaire à leur fonction. La surveillance des journaux d'audit de Keystone à la recherche d'activités suspectes liées à la création d'identifiants EC2 est également une pratique recommandée.
Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad. Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions de Keystone 14 à 26 (à l'exclusion de 26.1.1, 27.0.0, 28.0.0 et 29.0.0) sont vulnérables à cette CVE.
Ce sont des identifiants utilisés par les applications au lieu des utilisateurs individuels, avec des autorisations limitées pour effectuer des tâches spécifiques.
Vérifiez la version de Keystone que vous utilisez. Si elle se situe dans la plage vulnérable, une atténuation est nécessaire.
Si vous ne pouvez pas mettre à niveau immédiatement, examinez et limitez les autorisations des identifiants d'application et surveillez les journaux d'audit.
Elle pourrait entraîner un accès non autorisé aux ressources S3, compromettant la sécurité de l'infrastructure OpenStack.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.