Platform
go
Component
github.com/juju/juju
Opgelost in
2.9.57
3.6.21
0.0.0-20260408003526-d395054dc2c3
CVE-2026-5412 onthult een autorisatieprobleem in de Controller facade van Juju. Een geauthenticeerde gebruiker kan de CloudSpec API methode aanroepen om de cloud credentials te extraheren die gebruikt worden om de controller te bootstrappen. Dit stelt een gebruiker met beperkte rechten in staat om toegang te krijgen tot gevoelige credentials. De kwetsbaarheid treft versies van Juju tussen 2.9.0 en 3.6.21 inclusief. Een patch is beschikbaar in versies 2.9.57 en 3.6.21.
CVE-2026-5412 in Juju stelt een gebruiker met login-toegang tot een controller, en die de UUID van het controller-model kent, in staat om de cloud-credentials te achterhalen die worden gebruikt om de controller te bootstrappen. Dit wordt bereikt door de CloudSpec-methode aan te roepen op de Controller-facade. Hoewel de CloudSpec API normaal gesproken wordt aangeroepen door workers die op de controller draaien om de verbinding met de cloud te onderhouden, ontstaat het probleem wanneer deze wordt aangeroepen door de Command Line Interface (CLI) bij het doden (gedwongen verwijderen) van een controller met juju kill-controller. De blootlegging van deze credentials kan een aanvaller in staat stellen de onderliggende infrastructuur van de controller te compromitteren, mogelijk toegang te krijgen tot gevoelige gegevens of controle over cloud-resources te krijgen.
Een aanvaller met login-toegang tot een Juju-controller en kennis van de UUID van het controller-model kan deze kwetsbaarheid uitbuiten door de opdracht juju kill-controller uit te voeren. Deze opdracht, bedoeld om een controller te vernietigen, roept per ongeluk de CloudSpec-methode aan en legt de cloud-credentials bloot. De eenvoud waarmee deze opdracht kan worden uitgevoerd, in combinatie met de hoge ernst van de kwetsbaarheid (CVSS 9.9), maakt dit een aanzienlijk risico uit. De noodzaak om de UUID van het model te kennen, is een relatief lage drempel voor een aanvaller die al toegang heeft tot de controller.
Organizations utilizing Juju for cloud orchestration are at risk, particularly those with less stringent access controls and those who routinely use the juju kill-controller command. Shared hosting environments where multiple users share a single Juju controller instance are also at increased risk, as a compromised user account could potentially expose cloud credentials for all tenants.
• linux / server:
journalctl -u juju -g "CloudSpec API"• generic web:
curl -I http://<juju_controller_ip>/cloudspecCheck the response headers for any unauthorized access attempts or unusual activity. • generic web:
grep -r "CloudSpec API" /var/log/nginx/access.logLook for requests to the CloudSpec API from unexpected IP addresses or user agents.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-5412 is om Juju te upgraden naar versie 0.0.0-20260408003526-d395054dc2c3 of hoger. Deze versie lost de kwetsbaarheid op door de toegang tot de CloudSpec-methode te beperken, zodat alleen geautoriseerde processen toegang hebben tot de cloud-credentials. Het wordt aanbevolen om deze upgrade zo snel mogelijk toe te passen om het risico van credential-blootlegging te verminderen. Controleer bovendien de gebruikersrechten en zorg ervoor dat alleen geautoriseerde gebruikers toegang hebben tot Juju-controllers.
Actualice Juju a la versión 2.9.57 o superior, o a la versión 3.6.21 o superior. Esto corrige la vulnerabilidad de autorización que permite a usuarios no autorizados acceder a credenciales sensibles utilizadas para el bootstrapping del controlador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Juju is een container-orchestratietool van Canonical die de implementatie en het beheer van applicaties in de cloud vereenvoudigt.
Deze kwetsbaarheid maakt de blootlegging van cloud-credentials mogelijk, wat kan leiden tot een ernstige beveiligingsinbreuk en een mogelijke overname van de infrastructuur.
Controleer de versie van Juju die u gebruikt. Als deze ouder is dan 0.0.0-20260408003526-d395054dc2c3, bent u getroffen.
Als u niet onmiddellijk kunt updaten, beperk dan de toegang tot de Juju-controller tot geautoriseerde gebruikers en houd verdachte activiteiten in de gaten.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar regelmatige beveiligingsaudits worden aanbevolen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.