Vulnerabilidad en la API V2 en OpenStack Image Registry and Delivery Service (CVE-2014-9493)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
07/01/2015
Última modificación:
12/04/2025
Descripción
La API V2 en OpenStack Image Registry and Delivery Service (Glance) anterior a 2014.2.2 y 2014.1.4 permite a usuarios remotos autenticados leer o eliminar ficheros a través de un nombre de ruta completo en un fichero: URL en la propiedad de la localización de imágenes.
Impacto
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:openstack:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openstack:5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:openstack:image_registry_and_delivery_service_\(glance\):*:*:*:*:*:*:*:* | 2014.1 (incluyendo) | 2014.1.4 (excluyendo) |
| cpe:2.3:a:openstack:image_registry_and_delivery_service_\(glance\):*:*:*:*:*:*:*:* | 2014.2 (incluyendo) | 2014.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.openstack.org/pipermail/openstack-announce/2014-December/000317.html
- http://rhn.redhat.com/errata/RHSA-2015-0246.html
- http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
- http://www.securityfocus.com/bid/71688
- https://bugs.launchpad.net/glance/+bug/1400966
- https://security.openstack.org/ossa/OSSA-2014-041.html
- http://lists.openstack.org/pipermail/openstack-announce/2014-December/000317.html
- http://rhn.redhat.com/errata/RHSA-2015-0246.html
- http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
- http://www.securityfocus.com/bid/71688
- https://bugs.launchpad.net/glance/+bug/1400966
- https://security.openstack.org/ossa/OSSA-2014-041.html