Kay

**Nome do software vulnerável e versões afetadas** Versões do OpenStack Keystone anteriores à 15.0.1 OpenStack Keystone versão 16.0.0 **Descrição** Uma falha permite que qualquer usuário autenticado dentro de um escopo limitado crie uma credencial EC2 com permissão elevada, como obter privilégios de administrador enquanto o usuário está em uma função de visualizador limitada. Isso potencialmente permite que um usuário mal-intencionado atue como administrador em um projeto no qual outro usuário possui a função de administrador, o que pode efetivamente conceder a esse usuário privilégios de administrador global. **Recomendações** Para versões do OpenStack Keystone anteriores à 15.0.1, atualize para a versão 15.0.1 ou posterior para resolver o problema. Para a versão 16.0.0 do OpenStack Keystone, atualize para uma versão posterior à 16.0.0 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do OpenStack Keystone anteriores à 15.0.1 OpenStack Keystone versão 16.0.0 **Descrição** Um problema no OpenStack Keystone faz com que a lista de funções fornecida para um token de acesso OAuth1 seja silenciosamente ignorada. Quando um token de acesso é usado para solicitar um token Keystone, o token Keystone resultante contém todas as atribuições de função que o criador tinha para o projeto, o que pode levar a um acesso com privilégios elevados não intencionais. **Recomendações** Para versões do OpenStack Keystone anteriores à 15.0.1, atualize para a versão 15.0.1 ou posterior para resolver o problema. Para a versão 16.0.0 do OpenStack Keystone, considere desativar o uso de tokens de acesso OAuth1 até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do OpenStack Keystone anteriores à 15.0.1 OpenStack Keystone versão 16.0.0 **Descrição** Uma falha permite que qualquer usuário autenticado crie uma credencial EC2 para si mesmo em um projeto no qual tenha uma função especificada. O usuário pode então atualizar o usuário e o projeto da credencial, permitindo-lhe se passar por outro usuário. Isso potencialmente permite que um usuário mal-intencionado atue como administrador em um projeto no qual outro usuário tenha a função de administrador, concedendo efetivamente a esse usuário privilégios de administrador global. **Recomendações** Para versões do OpenStack Keystone anteriores à 15.0.1, atualize para a versão 15.0.1 ou posterior. Para a versão 16.0.0 do OpenStack Keystone, considere desativar o recurso de criação de credenciais EC2 até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do OpenStack Keystone anteriores à 15.0.1 OpenStack Keystone versão 16.0.0 **Descrição** Foi descoberta uma falha na API EC2 do OpenStack Keystone, na qual falta uma verificação de TTL de assinatura para o AWS Signature V4. Isso permite que um invasor intercepte o cabeçalho de autorização e, em seguida, o utilize para reemitir um token do OpenStack um número ilimitado de vezes. **Recomendações** Para versões do OpenStack Keystone anteriores à 15.0.1, atualize para a versão 15.0.1 ou posterior para resolver o problema. Para a versão 16.0.0 do OpenStack Keystone, considere desativar a API EC2 até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso ao cabeçalho de autorização para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Zeta Components Mail versions prior to 1.8.2 **Description** The issue is related to the `send` function in the `ezcMailMtaTransport` class, which does not properly restrict the set of characters used in the `ezcMail` `returnPath` property. This might allow remote attackers to execute arbitrary code via a crafted email address. **Recommendations** For versions prior to 1.8.2, update to version 1.8.2 or later to resolve the issue.