Vulnerabilidad en OpenStack Cinder, Glance y Nova (CVE-2024-32498)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/07/2024
Última modificación:
30/10/2024
Descripción
Se descubrió un problema en OpenStack Cinder hasta 24.0.0, Glance antes de 28.0.2 y Nova antes de 29.0.3. El acceso arbitrario a archivos puede ocurrir a través de datos externos QCOW2 personalizados. Al proporcionar una imagen QCOW2 manipulada que hace referencia a una ruta de archivo de datos específica, un usuario autenticado puede convencer a los sistemas para que devuelvan una copia del contenido de ese archivo desde el servidor, lo que resulta en un acceso no autorizado a datos potencialmente confidenciales. Todas las implementaciones de Cinder y Nova se ven afectadas; solo se ven afectadas las implementaciones de Glance con la conversión de imágenes habilitada.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openstack:cinder:*:*:*:*:*:*:*:* | 22.1.3 (excluyendo) | |
| cpe:2.3:a:openstack:cinder:*:*:*:*:*:*:*:* | 23.0.0 (incluyendo) | 23.1.1 (excluyendo) |
| cpe:2.3:a:openstack:cinder:24.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:glance:*:*:*:*:*:*:*:* | 26.0.1 (excluyendo) | |
| cpe:2.3:a:openstack:glance:*:*:*:*:*:*:*:* | 28.0.0 (incluyendo) | 28.0.2 (excluyendo) |
| cpe:2.3:a:openstack:glance:27.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:nova:*:*:*:*:*:*:*:* | 27.3.1 (excluyendo) | |
| cpe:2.3:a:openstack:nova:*:*:*:*:*:*:*:* | 28.0.0 (incluyendo) | 28.1.1 (excluyendo) |
| cpe:2.3:a:openstack:nova:*:*:*:*:*:*:*:* | 29.0.0 (incluyendo) | 29.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página