Platform
python
Component
keystone
Opgelost in
26.1.1
27.0.0
28.0.0
29.0.0
26.1.1
CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.
CVE-2026-33551 treft OpenStack Keystone in versies 14 tot en met 26 (met uitzondering van 26.1.1, 27.0.0, 28.0.0 en 29.0.0). De kwetsbaarheid stelt beperkte applicatie-credentials in staat om EC2-credentials te maken. Een geauthenticeerde gebruiker met slechts een reader-rol kan een EC2/S3-credential verkrijgen dat de volledige set S3-rechten van de bovenliggende gebruiker bevat, waardoor de rolbeperkingen die op het applicatie-credential worden opgelegd, effectief worden omzeild. Dit kan leiden tot ongeautoriseerde toegang tot S3-resources, waardoor de beveiliging van de OpenStack-infrastructuur in gevaar komt. Een succesvolle exploitatie vereist dat de omgeving beperkte applicatie-credentials en de EC2-credential creatie API gebruikt.
De kwetsbaarheid wordt geëxploiteerd door de EC2-credential creatie API in Keystone te gebruiken. Een aanvaller met een geauthenticeerde gebruiker die een reader-rol bezit, kan een beperkt applicatie-credential gebruiken om de creatie van EC2/S3-credentials aan te vragen. Vanwege een fout in de permissievalidatie zullen de resulterende EC2/S3-credentials de volledige rechten van de bovenliggende gebruiker erven, waardoor de aanvaller toegang krijgt tot S3-resources waarvoor hij normaal gesproken geen toegang zou hebben. De complexiteit van de exploitatie is relatief laag en vereist alleen authenticatie en kennis van de API.
Exploit Status
EPSS
0.02% (6% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-33551 is het upgraden naar OpenStack Keystone versie 26.1.1 of hoger, of naar versies 27.0.0, 28.0.0 of 29.0.0. Deze versies bevatten fixes die voorkomen dat EC2-credentials met verhoogde rechten worden gemaakt. Daarnaast wordt aanbevolen om de rechten die aan applicatie-credentials zijn toegewezen te beoordelen en te beperken, zodat ze alleen de minimale privileges hebben die nodig zijn voor hun functie. Het monitoren van Keystone audit logs op verdachte activiteiten met betrekking tot de creatie van EC2-credentials is ook een aanbevolen praktijk.
Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad. Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Keystone-versies 14 tot en met 26 (met uitzondering van 26.1.1, 27.0.0, 28.0.0 en 29.0.0) zijn kwetsbaar voor deze CVE.
Dit zijn credentials die door applicaties worden gebruikt in plaats van door individuele gebruikers, met beperkte rechten om specifieke taken uit te voeren.
Controleer de versie van Keystone die u gebruikt. Als deze binnen het kwetsbare bereik valt, is mitigatie noodzakelijk.
Als u niet direct kunt upgraden, beoordeel en beperk dan de rechten van applicatie-credentials en monitor de audit logs.
Het kan leiden tot ongeautoriseerde toegang tot S3-resources, waardoor de beveiliging van de OpenStack-infrastructuur in gevaar komt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.