CVE-2026-49299
MediumCVSS 5.3Exploitation Probability (EPSS)
Low risk21th percentile - higher than 21% of all known CVEs
Summary
W OpenStack Neutron przed wersją 28.0.1 kontroler tagowania wymusza użycie liczby mnogiej w nazwach akcji polityki dla operacji zapisu z pojedynczym tagiem, podczas gdy zdefiniowane zasady polityki używają nazw w liczbie pojedynczej. Niezgodność ta pozwala na tworzenie i aktualizowanie tagów przez czytelników projektów na zasobach w tym samym projekcie.
Risk Assessment
Organizacje mogą być narażone na nieautoryzowane modyfikacje tagów w zasobach, co może prowadzić do niezamierzonych zmian w konfiguracji i zarządzaniu zasobami. To stwarza ryzyko naruszenia integralności danych w projektach.
Recommendation
Zaleca się aktualizację OpenStack Neutron do wersji 28.0.1 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt polityk dostępu, aby upewnić się, że są one zgodne z wymaganiami bezpieczeństwa.
Original NVD description (English source)
In OpenStack Neutron before 28.0.1, the tagging controller enforces plural policy action names on single-tag write operations while the defined policy rules use singular names. The mismatched names evaluate as allowed under the default policy, permitting a project reader to create and update tags on same-project resources. Deployments running Neutron 26.0.0 or later are affected.

