Sean Mooney

**Nome do Software Vulnerável e Versões Afetadas** OpenStack Cyborg versões anteriores a 16.0.1 **Descrição** Múltiplos endpoints de API utilizam `rule:allow` (check str='@') como a política padrão, o que autoriza incondicionalmente qualquer solicitação que contenha um token Keystone válido. Isso ocorre independentemente das funções, associação de projeto ou escopo do usuário. Consequentemente, um usuário autenticado sem funções atribuídas pode realizar várias ações, como a reprogramação de bitstreams de FPGA (Field Programmable Gate Array) em nós de computação arbitrários via RPC (Remote Procedure Call) do agente. **Recomendações** Atualizar para a versão 16.0.1.

**Nome do Software Vulnerável e Versões Afetadas** OpenStack Cyborg versões anteriores a 16.0.1 **Descrição** A API Accelerator Request (ARQ) não impõe a propriedade do projeto. A coluna `project id` no banco de dados não é preenchida, as consultas ao banco de dados não possuem filtragem por projeto e as verificações de política são autorreferenciais, pois a função `authorize wsgi` compara o `project id` do chamador com ele mesmo em vez do recurso alvo. Isso permite que qualquer usuário não administrador autenticado execute diversas ações, como excluir ARQs vinculados a instâncias de outros projetos, resultando em uma negação de serviço entre locatários (cross-tenant denial of service). **Recomendações** Atualize para a versão 16.0.1.