प्लेटफ़ॉर्म
python
घटक
keystone
में ठीक किया गया
26.1.1
27.0.0
28.0.0
29.0.0
26.1.1
CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.
CVE-2026-33551 OpenStack Keystone के संस्करण 14 से 26 (26.1.1, 27.0.0, 28.0.0 और 29.0.0 को छोड़कर) को प्रभावित करता है। यह भेद्यता प्रतिबंधित एप्लिकेशन क्रेडेंशियल्स को EC2 क्रेडेंशियल्स बनाने की अनुमति देती है। केवल रीडर भूमिका वाले प्रमाणित उपयोगकर्ता EC2/S3 क्रेडेंशियल प्राप्त कर सकते हैं जिसमें पैरेंट उपयोगकर्ता के सभी S3 अनुमतियाँ शामिल हैं, प्रभावी रूप से एप्लिकेशन क्रेडेंशियल पर लगाए गए भूमिका प्रतिबंधों को दरकिनार करते हैं। इससे S3 संसाधनों तक अनधिकृत पहुंच हो सकती है, जिससे OpenStack बुनियादी ढांचे की सुरक्षा से समझौता हो सकता है। सफल शोषण के लिए पर्यावरण को प्रतिबंधित एप्लिकेशन क्रेडेंशियल्स और EC2 क्रेडेंशियल निर्माण API का उपयोग करने की आवश्यकता होती है।
इस भेद्यता का शोषण Keystone में EC2 क्रेडेंशियल निर्माण API का लाभ उठाकर किया जाता है। रीडर भूमिका वाले प्रमाणित उपयोगकर्ता प्रतिबंधित एप्लिकेशन क्रेडेंशियल का उपयोग EC2/S3 क्रेडेंशियल बनाने का अनुरोध करने के लिए कर सकते हैं। अनुमति सत्यापन में दोष के कारण, परिणामी EC2/S3 क्रेडेंशियल पैरेंट उपयोगकर्ता की सभी अनुमतियों को विरासत में प्राप्त करेंगे, जिससे हमलावर को S3 संसाधनों तक पहुंच प्राप्त हो जाएगी जिन पर उसे सामान्य रूप से पहुंच नहीं होगी। शोषण की जटिलता अपेक्षाकृत कम है, जिसके लिए केवल प्रमाणीकरण और API के ज्ञान की आवश्यकता होती है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CVSS वेक्टर
CVE-2026-33551 के लिए प्राथमिक शमन OpenStack Keystone के संस्करण 26.1.1 या बाद के संस्करण में अपग्रेड करना है, या संस्करण 27.0.0, 28.0.0 या 29.0.0 में अपग्रेड करना है। इन संस्करणों में ऐसे फिक्स शामिल हैं जो EC2 क्रेडेंशियल्स को उन्नत अनुमतियों के साथ बनाने से रोकते हैं। इसके अतिरिक्त, एप्लिकेशन क्रेडेंशियल्स को असाइन किए गए अनुमतियों की समीक्षा करना और उन्हें सीमित करना, यह सुनिश्चित करना कि उनके कार्य के लिए उनकी न्यूनतम विशेषाधिकार हैं, की सिफारिश की जाती है। EC2 क्रेडेंशियल निर्माण से संबंधित संदिग्ध गतिविधि के लिए Keystone ऑडिट लॉग की निगरानी करना भी एक अनुशंसित अभ्यास है।
Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad. Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Keystone के संस्करण 14 से 26 (26.1.1, 27.0.0, 28.0.0 और 29.0.0 को छोड़कर) इस CVE के प्रति कमजोर हैं।
ये क्रेडेंशियल्स हैं जिनका उपयोग व्यक्तिगत उपयोगकर्ताओं के बजाय एप्लिकेशन द्वारा विशिष्ट कार्यों को करने के लिए सीमित अनुमतियों के साथ किया जाता है।
आप जिस Keystone संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह कमजोर सीमा के भीतर है, तो शमन की आवश्यकता है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो एप्लिकेशन क्रेडेंशियल्स की अनुमतियों की समीक्षा करें और उन्हें सीमित करें और ऑडिट लॉग की निगरानी करें।
इससे S3 संसाधनों तक अनधिकृत पहुंच हो सकती है, जिससे OpenStack बुनियादी ढांचे की सुरक्षा से समझौता हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।