Plataforma
python
Componente
keystone
Corrigido em
26.1.1
27.0.0
28.0.0
29.0.0
26.1.1
CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.
A CVE-2026-33551 afeta o OpenStack Keystone nas versões 14 a 26 (excluindo 26.1.1, 27.0.0, 28.0.0 e 29.0.0). A vulnerabilidade permite que credenciais de aplicação restritas criem credenciais EC2. Um usuário autenticado com apenas um papel de leitura pode obter uma credencial EC2/S3 que carrega o conjunto completo de permissões S3 do usuário pai, contornando efetivamente as restrições de função impostas à credencial da aplicação. Isso pode resultar em acesso não autorizado a recursos S3, comprometendo a segurança da infraestrutura OpenStack. A exploração bem-sucedida requer que o ambiente utilize credenciais de aplicação restritas e a API de criação de credenciais EC2.
A vulnerabilidade é explorada aproveitando a API de criação de credenciais EC2 no Keystone. Um atacante com um usuário autenticado possuindo um papel de leitura pode utilizar uma credencial de aplicação restrita para solicitar a criação de credenciais EC2/S3. Devido a uma falha na validação de permissões, as credenciais EC2/S3 resultantes herdarão o conjunto completo de permissões do usuário pai, permitindo que o atacante acesse recursos S3 aos quais normalmente não teria acesso. A complexidade da exploração é relativamente baixa, exigindo apenas autenticação e conhecimento da API.
Status do Exploit
EPSS
0.02% (percentil 6%)
Vetor CVSS
A principal mitigação para CVE-2026-33551 é atualizar para o OpenStack Keystone versão 26.1.1 ou posterior, ou para as versões 27.0.0, 28.0.0 ou 29.0.0. Essas versões incluem correções que impedem a criação de credenciais EC2 com permissões elevadas. Além disso, recomenda-se revisar e limitar as permissões atribuídas às credenciais de aplicação, garantindo que tenham o privilégio mínimo necessário para sua função. Monitorar os logs de auditoria do Keystone em busca de atividades suspeitas relacionadas à criação de credenciais EC2 também é uma prática recomendada.
Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad. Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões do Keystone 14 a 26 (excluindo 26.1.1, 27.0.0, 28.0.0 e 29.0.0) são vulneráveis a esta CVE.
São credenciais usadas por aplicativos em vez de usuários individuais, com permissões limitadas para realizar tarefas específicas.
Verifique a versão do Keystone que você está usando. Se estiver dentro da faixa vulnerável, a mitigação é necessária.
Se você não puder atualizar imediatamente, revise e limite as permissões das credenciais de aplicativo e monitore os logs de auditoria.
Pode resultar em acesso não autorizado a recursos S3, comprometendo a segurança da infraestrutura OpenStack.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.