PT-2024-3877 · Openstack+1 · Openstack Murano+1

Edwardzpeng

+2

·

Publicado

2024-01-04

·

Atualizado

2025-03-25

·

CVE-2024-29156

CVSS v2.0

7.2

Alta

VetorAV:L/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas:
Versões do OpenStack Murano anteriores à 16.0.0 com versões do YAQL anteriores à 3.0.0
Descrição:
O problema está relacionado à extensão MuranoPL do serviço Murano para a linguagem YAQL, que não realiza a sanitização do ambiente fornecido. Isso pode levar a um possível vazamento de informações confidenciais de contas de serviço.
Recomendações:
Para versões do OpenStack Murano anteriores à 16.0.0 com versões do YAQL anteriores à 3.0.0, considere desativar o serviço Murano ou removê-lo completamente de todas as implantações do OpenStack como uma solução temporária até que um patch esteja disponível.

Correção

Improper Access Control

Improper Encoding or Escaping of Output

Information Disclosure

Incorrect Privilege Assignment

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-116CWE-200CWE-266

Identificadores relacionados

BDU:2024-04279
CVE-2024-29156
GHSA-MVF6-HWXH-7V76
OESA-2024-1328
OESA-2024-1329
OESA-2024-1330
OESA-2024-1331
OESA-2024-1332
RHSA-2024:1930
RHSA-2024:1931
RHSA-2024:4053

Produtos afetados

Debian
Openstack Murano