平台
python
组件
keystone
修复版本
26.1.1
27.0.0
28.0.0
29.0.0
26.1.1
CVE-2026-33551 is a security vulnerability identified in OpenStack Keystone versions 14 through 26.1.0. An attacker can leverage restricted application credentials to create EC2 credentials, potentially bypassing role restrictions and gaining unauthorized access to S3 resources. This vulnerability primarily impacts deployments utilizing restricted application credentials alongside the EC2/S3 compatibility API. A patch is available in version 26.1.1.
CVE-2026-33551 影响 OpenStack Keystone 的 14 到 26 版本(不包括 26.1.1、27.0.0、28.0.0 和 29.0.0)。此漏洞允许受限的应用程序凭据创建 EC2 凭据。 仅具有读取权限的角色经过身份验证的用户可以获取包含父用户所有 S3 权限的 EC2/S3 凭据,从而有效地绕过对应用程序凭据施加的角色限制。 这可能导致对 S3 资源的未经授权的访问,从而危及 OpenStack 基础设施的安全性。 成功的利用需要环境使用受限的应用程序凭据和 EC2 凭据创建 API。
通过利用 Keystone 中的 EC2 凭据创建 API 来利用此漏洞。 具有读取权限角色的经过身份验证的攻击者可以使用受限的应用程序凭据来请求创建 EC2/S3 凭据。 由于权限验证中的缺陷,生成的 EC2/S3 凭据将继承父用户的完整权限,允许攻击者访问他们通常无法访问的 S3 资源。 漏洞利用的复杂性相对较低,仅需要身份验证和 API 的知识。
漏洞利用状态
EPSS
0.02% (6% 百分位)
CVSS 向量
CVE-2026-33551 的主要缓解措施是升级到 OpenStack Keystone 版本 26.1.1 或更高版本,或升级到版本 27.0.0、28.0.0 或 29.0.0。这些版本包含防止创建具有提升权限的 EC2 凭据的修复程序。此外,建议审查并限制分配给应用程序凭据的权限,确保它们仅具有执行其功能所需的最小权限。 监控 Keystone 审核日志中与 EC2 凭据创建相关的可疑活动也是一种推荐的做法。
Actualice OpenStack Keystone a la versión 26.1.1 o superior, 27.0.0, 28.0.0 o 29.0.0 para mitigar la vulnerabilidad. Asegúrese de que las credenciales de aplicación restringidas no se utilicen para crear credenciales EC2/S3, especialmente en combinación con la API de compatibilidad EC2/S3 (swift3 / s3api).
漏洞分析和关键警报直接发送到您的邮箱。
Keystone 的 14 到 26 版本(不包括 26.1.1、27.0.0、28.0.0 和 29.0.0)容易受到此 CVE 的攻击。
这些是应用程序而不是个人用户使用的凭据,具有有限的权限来执行特定任务。
检查您使用的 Keystone 版本。 如果它在易受攻击的范围内,则需要采取缓解措施。
如果您无法立即升级,请审查并限制应用程序凭据的权限,并监控审核日志。
它可能导致对 S3 资源的未经授权的访问,从而危及 OpenStack 基础设施的安全性。
上传你的 requirements.txt 文件,立即知道是否受影响。