LOWCVE-2026-33551CVSS 3.5

OpenStack Keystone: Restricted アプリケーション認証情報から EC2 認証情報を生成可能

プラットフォーム

python

コンポーネント

keystone

修正版

26.1.1

27.0.0

28.0.0

29.0.0

26.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.

影響と攻撃シナリオ

CVE-2026-33551 は、OpenStack Keystone のバージョン 14 から 26 (26.1.1、27.0.0、28.0.0、および 29.0.0 を除く) に影響を与えます。この脆弱性により、制限付きのアプリケーション資格情報が EC2 資格情報を生成できます。読み取り専用ロールのみを持つ認証されたユーザーは、親ユーザーの S3 権限全体を含む EC2/S3 資格情報を受け取り、アプリケーション資格情報に課されたロール制限を効果的に回避できます。これにより、S3 リソースへの不正アクセスが発生し、OpenStack インフラストラクチャのセキュリティが損なわれる可能性があります。成功裏な悪用には、環境が制限付きのアプリケーション資格情報と EC2 資格情報作成 API を使用している必要があります。

悪用の状況

この脆弱性は、Keystone 内の EC2 資格情報作成 API を利用することで悪用されます。読み取り専用ロールを持つ認証されたユーザーは、制限付きのアプリケーション資格情報を使用して EC2/S3 資格情報の作成を要求できます。権限検証の欠陥により、結果として生じる EC2/S3 資格情報は親ユーザーの完全な権限を継承し、通常はアクセスできない S3 リソースにアクセスできるようになります。悪用の複雑さは比較的低く、認証と API の知識のみが必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (6% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントkeystone

ベンダーosv

影響範囲修正版

14.0.0 – 26.1.126.1.1

27.0.0 – 27.0.027.0.0

28.0.0 – 28.0.028.0.0

29.0.0 – 29.0.029.0.0

14.0.026.1.1

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-22
公開日2026-04-09
更新日2026-04-10
EPSS 更新日2026-04-17

公開後8日でパッチ適用

緩和策と回避策

CVE-2026-33551 の主な軽減策は、OpenStack Keystone のバージョン 26.1.1 以降、またはバージョン 27.0.0、28.0.0、または 29.0.0 にアップグレードすることです。これらのバージョンには、EC2 資格情報に昇格された権限を作成できないようにする修正が含まれています。さらに、アプリケーション資格情報に割り当てられた権限をレビューおよび制限し、その機能に必要な最小限の特権を持っていることを確認することをお勧めします。 Keystone の監査ログを EC2 資格情報作成に関連する疑わしいアクティビティについて監視することも推奨されるプラクティスです。

修正方法翻訳中…

Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad.  Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33551 とは何ですか？（keystone）

Keystone のバージョン 14 から 26 (26.1.1、27.0.0、28.0.0、および 29.0.0 を除く) がこの CVE に対して脆弱です。

keystone の CVE-2026-33551 による影響を受けていますか？

これらは、個々のユーザーではなくアプリケーションによって使用される資格情報であり、特定のタスクを実行するための制限された権限があります。

keystone の CVE-2026-33551 を修正するにはどうすればよいですか？

使用している Keystone のバージョンを確認してください。脆弱な範囲内にある場合は、軽減策が必要です。

CVE-2026-33551 は積極的に悪用されていますか？

すぐにアップグレードできない場合は、アプリケーション資格情報の権限をレビューおよび制限し、監査ログを監視してください。

CVE-2026-33551 に関する keystone の公式アドバイザリはどこで確認できますか？

S3 リソースへの不正アクセスが発生し、OpenStack インフラストラクチャのセキュリティが損なわれる可能性があります。