CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-33551

LowCVSS 3.5
Published: Updated: Translated: NVD NIST

Summary

W OpenStack Keystone w wersjach od 14 do 26 przed 26.1.1, 27.0.0, 28.0.0 i 29.0.0 odkryto problem, który pozwala na tworzenie poświadczeń EC2 przez ograniczone poświadczenia aplikacji. Użytkownik z rolą tylko do odczytu może uzyskać pełne uprawnienia S3 rodzica, omijając ograniczenia ról nałożone na poświadczenia aplikacji.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów S3, co może prowadzić do wycieku danych lub nieautoryzowanego użycia zasobów. W szczególności dotyczy to wdrożeń korzystających z ograniczonych poświadczeń aplikacji w połączeniu z API zgodności EC2/S3.

Recommendation

Zaleca się aktualizację OpenStack Keystone do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy przeglądać i ograniczać użycie poświadczeń aplikacji w połączeniu z API EC2/S3.

Original NVD description (English source)

An issue was discovered in OpenStack Keystone 14 through 26 before 26.1.1, 27.0.0, 28.0.0, and 29.0.0. Restricted application credentials can create EC2 credentials. By using a restricted application credential to call the EC2 credential creation API, an authenticated user with only a reader role may obtain an EC2/S3 credential that carries the full set of the parent user's S3 permissions, effectively bypassing the role restrictions imposed on the application credential. Only deployments that use restricted application credentials in combination with the EC2/S3 compatibility API (swift3 / s3api) are affected.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS