Gratis scannen
MEDIUMCVE-2026-44919CVSS 4.3

CVE-2026-44919: Infinite Loop in OpenStack Ironic

Platform

linux

Component

ironic

Opgelost in

a3f6d735ac3642ab95b49142c7305f072ae748d0

Bekijk op NVD
Opslaan

CVE-2026-44919 beschrijft een kwetsbaarheid in OpenStack Ironic, specifiek gerelateerd aan de verwerking van images. Deze kwetsbaarheid veroorzaakt een oneindige lus in de checksumberekeningen wanneer een image wordt geladen via de file:///dev/zero URL, wat kan leiden tot een Denial of Service (DoS). De kwetsbaarheid treft versies van OpenStack Ironic tussen 0.0.0–a3f6d735ac3642ab95b49142c7305f072ae748d0. Een fix is beschikbaar in versie a3f6d735ac3642ab95b49142c7305f072ae748d0.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van CVE-2026-44919 kan leiden tot een Denial of Service (DoS) op de OpenStack Ironic-instantie. De oneindige lus in de checksumberekeningen verbruikt onnodig CPU-bronnen en kan de service onbereikbaar maken voor legitieme gebruikers. Dit kan de beschikbaarheid van virtuele machines en andere resources die afhankelijk zijn van Ironic beïnvloeden. Hoewel de kwetsbaarheid geen directe toegang tot data mogelijk maakt, kan het de operationele continuïteit van de cloudomgeving aanzienlijk verstoren.

Uitbuitingscontext

De kwetsbaarheid is openbaar bekend gemaakt op 2026-05-14. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze specifieke kwetsbaarheid uitbuiten. De publicatie op de NVD (National Vulnerability Database) is ook recent, wat de kans op snelle exploitatie verkleint. De EPSS score is nog niet bekend, maar gezien de aard van de kwetsbaarheid (DoS) en de recente publicatie, wordt een lage tot medium waarschijnlijkheid van exploitatie verwacht.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Geen — geen integriteitsimpact.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentironic
LeverancierOpenStack
Minimumversie0.0.0
Maximumversiea3f6d735ac3642ab95b49142c7305f072ae748d0
Opgelost ina3f6d735ac3642ab95b49142c7305f072ae748d0

Zwakheidsclassificatie (CWE)

CWE-696

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-44919 is het upgraden naar de versie a3f6d735ac3642ab95b49142c7305f072ae748d0, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan het beperken van de toegang tot de image-verwerkingsfunctionaliteit via de file:///dev/zero URL een tijdelijke workaround bieden. Controleer de OpenStack Ironic configuratie om te verzekeren dat onbevoegde toegang tot image-verwerking is beperkt. Na de upgrade, verifieer de functionaliteit van image-verwerking door een test image te uploaden en te verifiëren dat de checksumberekeningen correct verlopen zonder een oneindige lus.

Hoe te verhelpenwordt vertaald…

Actualice OpenStack Ironic a la versión a3f6d735ac3642ab95b49142c7305f072ae748d0 o superior para evitar el bucle infinito en los cálculos de checksums al manejar imágenes a través de la URL file:///dev/zero.  Revise las notas de la versión para obtener instrucciones de actualización específicas.  Asegúrese de probar la actualización en un entorno de prueba antes de aplicarla a producción.

Veelgestelde vragen

Wat is CVE-2026-44919 — Infinite Loop in OpenStack Ironic?

CVE-2026-44919 is een kwetsbaarheid in OpenStack Ironic die een oneindige lus in checksumberekeningen veroorzaakt bij het verwerken van images via de file:///dev/zero URL, wat kan leiden tot een Denial of Service.

Am I affected by CVE-2026-44919 in OpenStack Ironic?

Ja, als u een OpenStack Ironic-installatie gebruikt in de versie 0.0.0–a3f6d735ac3642ab95b49142c7305f072ae748d0, bent u kwetsbaar voor deze kwetsbaarheid.

How do I fix CVE-2026-44919 in OpenStack Ironic?

Upgrade naar de versie a3f6d735ac3642ab95b49142c7305f072ae748d0. Indien een upgrade niet direct mogelijk is, beperk dan de toegang tot de image-verwerkingsfunctionaliteit.

Is CVE-2026-44919 being actively exploited?

Momenteel is er geen informatie beschikbaar over actieve exploits, maar de kwetsbaarheid is recentelijk openbaar gemaakt, dus het risico op exploitatie bestaat.

Where can I find the official OpenStack Ironic advisory for CVE-2026-44919?

Raadpleeg de OpenStack Security Advisories website voor de officiële aankondiging en details over CVE-2026-44919: [https://security.openstack.org/]

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...