免费扫描
MEDIUMCVE-2026-44919CVSS 4.3

CVE-2026-44919: 拒绝服务 in OpenStack Ironic

平台

linux

组件

ironic

修复版本

a3f6d735ac3642ab95b49142c7305f072ae748d0

在NVD查看
保存

CVE-2026-44919 描述了 OpenStack Ironic 中一个拒绝服务漏洞。在处理图像时,校验和计算过程中存在无限循环,攻击者可以通过构造特定的 URL 触发此漏洞,导致系统资源耗尽,从而造成拒绝服务。此漏洞影响 OpenStack Ironic 版本 0.0.0 至 a3f6d735ac3642ab95b49142c7305f072ae748d0。建议用户尽快升级至 a3f6d735ac3642ab95b49142c7305f072ae748d0 以缓解风险。

影响与攻击场景

攻击者可以利用此漏洞通过发送恶意构造的图像 URL 触发 OpenStack Ironic 服务的拒绝服务。无限循环会消耗大量的系统资源,例如 CPU 和内存,导致系统响应缓慢或完全崩溃。这会影响其他用户的正常使用,甚至可能导致整个 OpenStack 环境瘫痪。由于 OpenStack 广泛应用于云计算环境中,此漏洞的潜在影响范围非常广泛。

利用背景

目前未公开已知利用此漏洞的公开 POC。由于漏洞影响 OpenStack Ironic,且 OpenStack 广泛应用于云计算环境中,因此存在被利用的风险。建议密切关注安全社区的动态,并及时采取措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
无 — 无完整性影响。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件ironic
供应商OpenStack
最低版本0.0.0
最高版本a3f6d735ac3642ab95b49142c7305f072ae748d0
修复版本a3f6d735ac3642ab95b49142c7305f072ae748d0

弱点分类 (CWE)

CWE-696

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即升级至受影响版本之后的修复版本 a3f6d735ac3642ab95b49142c7305f072ae748d0。如果无法立即升级,可以考虑限制对 OpenStack Ironic 服务的访问,并监控系统资源的使用情况。此外,实施严格的输入验证,并定期审查 OpenStack Ironic 的配置,可以降低风险。

修复方法翻译中…

Actualice OpenStack Ironic a la versión a3f6d735ac3642ab95b49142c7305f072ae748d0 o superior para evitar el bucle infinito en los cálculos de checksums al manejar imágenes a través de la URL file:///dev/zero.  Revise las notas de la versión para obtener instrucciones de actualización específicas.  Asegúrese de probar la actualización en un entorno de prueba antes de aplicarla a producción.

常见问题

什么是 CVE-2026-44919 — 拒绝服务 in OpenStack Ironic?

CVE-2026-44919 是 OpenStack Ironic 中一个拒绝服务漏洞,允许攻击者通过构造特定的 URL 触发系统资源耗尽。

我是否受到 CVE-2026-44919 in OpenStack Ironic 的影响?

如果您正在使用 OpenStack Ironic 版本 0.0.0 至 a3f6d735ac3642ab95b49142c7305f072ae748d0,则可能受到此漏洞的影响。

如何修复 CVE-2026-44919 in OpenStack Ironic?

升级至 OpenStack Ironic a3f6d735ac3642ab95b49142c7305f072ae748d0 或更高版本以修复此漏洞。

CVE-2026-44919 是否正在被积极利用?

目前未公开已知利用此漏洞的公开 POC,但存在被利用的风险。

在哪里可以找到 OpenStack Ironic 官方关于 CVE-2026-44919 的公告?

请访问 OpenStack 官方安全公告页面以获取更多信息:[https://lists.openstack.org/pipermail/announce/](https://lists.openstack.org/pipermail/announce/)

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...