Vulnerabilidad en OpenStack Neutron (CVE-2024-53916)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/11/2024

Última modificación:

06/01/2025

Descripción

En OpenStack Neutron hasta la versión 25.0.0, neutron/extensions/tagging.py puede usar una ID incorrecta durante la aplicación de políticas. NOTA: 935883 tiene el estado "Trabajo en progreso" al 24/11/2024.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/openstack/neutron/blob/363ffa6e9e1ab5968f87d45bc2f1cb6394f48b9f/neutron/extensions/tagging.py#L138-L232
https://review.opendev.org/c/openstack/neutron/+/935883
https://review.opendev.org/q/project:openstack/neutron
https://security.openstack.org/ossa/OSSA-2024-005.html
http://www.openwall.com/lists/oss-security/2024/12/03/1