Escanear grátis
MEDIUMCVE-2026-44919CVSS 4.3

CVE-2026-44919: Infinite Loop em OpenStack Ironic

Plataforma

linux

Componente

ironic

Corrigido em

a3f6d735ac3642ab95b49142c7305f072ae748d0

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-44919 afeta o OpenStack Ironic, especificamente no tratamento de imagens. Um loop infinito nos cálculos de checksum pode ser desencadeado ao utilizar a URL file:///dev/zero, resultando em potencial negação de serviço. Essa falha impacta versões do OpenStack Ironic até a 35.x (0.0.0–a3f6d735ac3642ab95b49142c7305f072ae748d0). A correção foi disponibilizada na versão a3f6d735ac3642ab95b49142c7305f072ae748d0.

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade pode levar a uma negação de serviço (DoS) no sistema OpenStack Ironic. O loop infinito consome recursos de CPU e memória, tornando o serviço indisponível para outros usuários ou aplicações. Em ambientes de nuvem, isso pode interromper a alocação de recursos de computação e afetar a disponibilidade de máquinas virtuais. A severidade do impacto depende da criticidade do OpenStack Ironic na infraestrutura, podendo causar interrupções significativas nos serviços dependentes.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-14. A probabilidade de exploração é considerada baixa, pois requer um conhecimento específico da implementação do OpenStack Ironic e a capacidade de manipular URLs de imagens. Não há relatos públicos de exploração ativa desta vulnerabilidade até o momento. Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para atualizações.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Nenhum — sem impacto na integridade.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componenteironic
FornecedorOpenStack
Versão mínima0.0.0
Versão máximaa3f6d735ac3642ab95b49142c7305f072ae748d0
Corrigido ema3f6d735ac3642ab95b49142c7305f072ae748d0

Classificação de Fraqueza (CWE)

CWE-696

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é a atualização para a versão corrigida a3f6d735ac3642ab95b49142c7305f072ae748d0 do OpenStack Ironic. Caso a atualização imediata não seja possível, implemente medidas de proteção temporárias, como restringir o acesso à funcionalidade de tratamento de imagens e monitorar o uso de recursos do sistema. Considere a implementação de regras em um Web Application Firewall (WAF) para bloquear requisições com a URL file:///dev/zero. Após a atualização, confirme a correção executando testes de regressão para garantir que a funcionalidade de tratamento de imagens esteja operando corretamente.

Como corrigirtraduzindo…

Actualice OpenStack Ironic a la versión a3f6d735ac3642ab95b49142c7305f072ae748d0 o superior para evitar el bucle infinito en los cálculos de checksums al manejar imágenes a través de la URL file:///dev/zero.  Revise las notas de la versión para obtener instrucciones de actualización específicas.  Asegúrese de probar la actualización en un entorno de prueba antes de aplicarla a producción.

Perguntas frequentes

O que é CVE-2026-44919 — Loop Infinito em OpenStack Ironic?

CVE-2026-44919 é uma vulnerabilidade em OpenStack Ironic que permite um loop infinito nos cálculos de checksum, levando a uma possível negação de serviço.

Estou afetado por CVE-2026-44919 em OpenStack Ironic?

Se você estiver utilizando uma versão do OpenStack Ironic anterior a a3f6d735ac3642ab95b49142c7305f072ae748d0, você está potencialmente afetado.

Como corrigir CVE-2026-44919 em OpenStack Ironic?

Atualize para a versão corrigida a3f6d735ac3642ab95b49142c7305f072ae748d0 do OpenStack Ironic.

CVE-2026-44919 em OpenStack Ironic está sendo ativamente explorado?

Até o momento, não há relatos públicos de exploração ativa desta vulnerabilidade, mas a probabilidade de exploração não pode ser descartada.

Onde posso encontrar o advisory oficial do OpenStack para CVE-2026-44919?

Consulte o site oficial do OpenStack e o NVD (National Vulnerability Database) para obter informações e atualizações sobre esta vulnerabilidade.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...