Katalog CVE

CVE-2026-49299

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

W OpenStack Neutron przed wersją 28.0.1 kontroler tagowania wymusza użycie liczby mnogiej w nazwach akcji polityki dla operacji zapisu z pojedynczym tagiem, podczas gdy zdefiniowane zasady polityki używają nazw w liczbie pojedynczej. Niezgodność ta pozwala na tworzenie i aktualizowanie tagów przez czytelników projektów na zasobach w tym samym projekcie.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane modyfikacje tagów w zasobach, co może prowadzić do niezamierzonych zmian w konfiguracji i zarządzaniu zasobami. To stwarza ryzyko naruszenia integralności danych w projektach.

Rekomendacja

Zaleca się aktualizację OpenStack Neutron do wersji 28.0.1 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt polityk dostępu, aby upewnić się, że są one zgodne z wymaganiami bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

In OpenStack Neutron before 28.0.1, the tagging controller enforces plural policy action names on single-tag write operations while the defined policy rules use singular names. The mismatched names evaluate as allowed under the default policy, permitting a project reader to create and update tags on same-project resources. Deployments running Neutron 26.0.0 or later are affected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS