PT-2026-22298 · Openstack · Openstack Vitrage
Khalil Lemtaffah
·
Publicado
2026-02-27
·
Atualizado
2026-03-08
·
CVE-2026-28370
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
OpenStack Vitrage versões anteriores a 12.0.1, 13.0.0, 14.0.0 e 15.0.0
Descrição
Existe uma vulnerabilidade no analisador de consultas do OpenStack Vitrage que poderia permitir que um usuário com acesso à API do Vitrage acione a execução de código no host do serviço Vitrage. Isso ocorre dentro da função
create query function localizada em vitrage/graph/query.py. A exploração bem-sucedida poderia levar a acesso não autorizado ao host e comprometimento do serviço Vitrage. O problema decorre do tratamento inadequado de entradas fornecidas pelo usuário.Recomendações
As versões do OpenStack Vitrage anteriores a 12.0.1 devem ser atualizadas.
As versões do OpenStack Vitrage anteriores a 13.0.0 devem ser atualizadas.
As versões do OpenStack Vitrage anteriores a 14.0.0 devem ser atualizadas.
As versões do OpenStack Vitrage anteriores a 15.0.0 devem ser atualizadas.
Exploit
Correção
RCE
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openstack Vitrage