Vulnerabilidad en OpenStack Keystone (CVE-2020-12689)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
07/05/2020
Última modificación:
07/11/2023
Descripción
Se detectó un problema en OpenStack Keystone en versiones anteriores a la 15.0.1 y 16.0.0. Cualquier usuario autenticado dentro de un alcance limitado (credencial de confianza/autorización/aplicación) puede crear una credencial EC2 con un permiso escalado, como obtener administrador mientras el usuario tiene un rol de visor limitado. Potencialmente, esto permite que un usuario malintencionado actúe como administrador en un proyecto en el que otro usuario tiene la función de administrador, lo que efectivamente puede otorgarle a ese usuario privilegios de administrador global.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openstack:keystone:*:*:*:*:*:*:*:* | 15.0.1 (excluyendo) | |
| cpe:2.3:a:openstack:keystone:16.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2020/05/07/2
- https://bugs.launchpad.net/keystone/+bug/1872735
- https://lists.apache.org/thread.html/re4ffc55cd2f1b55a26e07c83b3c22c3fe4bae6054d000a57fb48d8c2%40%3Ccommits.druid.apache.org%3E
- https://security.openstack.org/ossa/OSSA-2020-004.html
- https://usn.ubuntu.com/4480-1/
- https://www.openwall.com/lists/oss-security/2020/05/06/5