James Hebden

**Nome do software vulnerável e versões afetadas** Versões do Networking OS10 anteriores a outubro de 2021 **Descrição** A vulnerabilidade permite que um invasor remoto não autenticado contorne a autenticação e obtenha acesso ao sistema, possibilitando-lhe realizar ações no sistema afetado. Isso é possível quando os Smart Fabric Services estão habilitados. **Recomendações** Para versões do Networking OS10 anteriores a outubro de 2021, considere desativar os Smart Fabric Services até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o acesso ao sistema para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Networking OS10 anteriores a outubro de 2021 **Descrição** O problema está relacionado a uma vulnerabilidade de contorno de autenticação na implementação da API RESTCONF no Networking OS10. Essa vulnerabilidade pode permitir que um invasor remoto não autenticado obtenha acesso e execute ações no sistema afetado. **Recomendações** Para versões anteriores a outubro de 2021, considere desativar a API RESTCONF até que um patch esteja disponível para impedir a exploração da vulnerabilidade de contorno de autenticação. Restrinja o acesso ao sistema para minimizar o risco de acesso não autorizado.

**Nome do software vulnerável e versões afetadas** Versões do Networking OS10 anteriores a outubro de 2021 **Descrição** O problema está relacionado a uma vulnerabilidade de escalonamento de privilégios na implementação da API RESTCONF no Networking OS10. Um usuário mal-intencionado com privilégios limitados e acesso específico à API poderia explorar essa vulnerabilidade para obter privilégios de administrador no sistema afetado. A vulnerabilidade está associada a erros no gerenciamento de privilégios. **Recomendações** Para versões anteriores a outubro de 2021, considere desativar a API RESTCONF até que uma correção esteja disponível para evitar uma possível exploração. Restrinja o acesso à API para minimizar o risco de escalonamento de privilégios. Como solução alternativa temporária, limite os privilégios de usuários com privilégios reduzidos para reduzir o impacto de uma possível exploração.

**Nome do software vulnerável e versões afetadas: Versões do OpenStack Mistral até a 7.0.3, inclusive Descrição: É possível ocorrer uma condição de Negação de Serviço (DoS) devido ao envio de um arquivo YAML de definição de fluxo de trabalho especialmente criado, contendo âncoras aninhadas, o que pode levar ao esgotamento de recursos. Recomendações: Para as versões do OpenStack Mistral até e incluindo a 7.0.3, considere restringir o envio de arquivos YAML de definição de fluxo de trabalho ou validar os arquivos para impedir aqueles com âncoras aninhadas até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** openstack-tripleo-heat-templates versions prior to 8.0.2-40 **Description** A vulnerability was found in openstack-tripleo-heat-templates. When deployed using Director with default configuration, Opendaylight in RHOSP13 is configured with easily guessable default credentials. **Recommendations** For versions prior to 8.0.2-40, update to version 8.0.2-40 or later to resolve the issue. As a temporary workaround, consider changing the default credentials for Opendaylight to prevent exploitation.