PT-2024-35973 · Openstack · Openstack Neutron
Tore Anderson
·
Publicado
2024-11-24
·
Atualizado
2025-01-06
·
CVE-2024-53916
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas:
OpenStack Neutron, versões 23 a 23.2.0
OpenStack Neutron, versões 24 a 24.0.1
OpenStack Neutron, versões 25 a 25.0.0
Descrição:
A vulnerabilidade afeta o OpenStack Neutron, onde o arquivo neutron/extensions/tagging.py pode utilizar um ID incorreto durante a aplicação de políticas. Isso resulta na falha na aplicação da verificação de política adequada para a alteração de tags de rede. Como consequência, um locatário sem privilégios pode alterar (adicionar e remover) tags em objetos de rede que não pertencem ao locatário sem ser submetido à verificação de autorização de política adequada.
Recomendações:
Para as versões 23 a 23.2.0 do OpenStack Neutron, atualize para a versão 23.2.1 ou posterior.
Para as versões 24 a 24.0.1 do OpenStack Neutron, atualize para a versão 24.0.2 ou posterior.
Para as versões 25 a 25.0.0 do OpenStack Neutron, atualize para a versão 25.0.1 ou posterior.
Correção
Insufficient Verification of Data Authenticity
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openstack Neutron