CVE-2026-49299
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
W OpenStack Neutron przed wersją 28.0.1 kontroler tagowania wymusza użycie liczby mnogiej w nazwach akcji polityki dla operacji zapisu z pojedynczym tagiem, podczas gdy zdefiniowane zasady polityki używają nazw w liczbie pojedynczej. Niezgodność ta pozwala na tworzenie i aktualizowanie tagów przez czytelników projektów na zasobach w tym samym projekcie.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane modyfikacje tagów w zasobach, co może prowadzić do niezamierzonych zmian w konfiguracji i zarządzaniu zasobami. To stwarza ryzyko naruszenia integralności danych w projektach.
Rekomendacja
Zaleca się aktualizację OpenStack Neutron do wersji 28.0.1 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt polityk dostępu, aby upewnić się, że są one zgodne z wymaganiami bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
In OpenStack Neutron before 28.0.1, the tagging controller enforces plural policy action names on single-tag write operations while the defined policy rules use singular names. The mismatched names evaluate as allowed under the default policy, permitting a project reader to create and update tags on same-project resources. Deployments running Neutron 26.0.0 or later are affected.

