CVE-2026-40683

Name of the Vulnerable Software and Affected Versions OpenStack Keystone versões anteriores a 28.0.1

Description O backend de identidade LDAP não converte o atributo de usuário habilitado para um valor booleano quando a opção de configuração user enabled invert está definida como False. Especificamente, a função ldap res to model() na classe UserApi apenas realiza a conversão de string para booleano quando user enabled invert é True. Quando False, o valor de string bruto do LDAP é utilizado. Como strings não vazias são consideradas verdadeiras (truthy) em Python, usuários marcados como desabilitados no LDAP são tratados como habilitados, permitindo que se autentiquem e realizem ações. Isso afeta implementações que utilizam o backend de identidade LDAP sem user enabled invert=True ou user enabled emulation.

Recommendations Atualize para a versão 28.0.1 ou posterior. Como solução temporária, defina a opção de configuração user enabled invert como True ou habilite a user enabled emulation.