John Garbutt

**Nome do software vulnerável e versões afetadas** Versões do Ceph anteriores à 14.2.16 Versões do Ceph 15.x anteriores à 15.2.8 Versões do Ceph 16.x anteriores à 16.2.0 **Descrição** A vulnerabilidade permite que credenciais de usuário sejam manipuladas e roubadas por consumidores nativos do CephFS do OpenStack Manila, podendo levar à escalada de privilégios. Um invasor pode solicitar acesso a um compartilhamento como um usuário cephx arbitrário, incluindo usuários existentes, e recuperar a chave de acesso por meio de drivers de interface. Todos os usuários do projeto OpenStack solicitante podem então visualizar a chave de acesso, permitindo que o invasor tenha como alvo qualquer recurso ao qual o usuário tenha acesso, incluindo os dos usuários “admin”, comprometendo assim o administrador do Ceph. **Recomendações** Para versões do Ceph anteriores à 14.2.16, atualize para a versão 14.2.16 ou posterior. Para versões do Ceph 15.x anteriores à 15.2.8, atualize para a versão 15.2.8 ou posterior. Para versões do Ceph 16.x anteriores à 16.2.0, atualize para a versão 16.2.0 ou posterior.