CVE-2026-40213

Nome do Software Vulnerável e Versões Afetadas OpenStack Cyborg versões anteriores a 16.0.1

Descrição Múltiplos endpoints de API utilizam rule:allow (check str='@') como a política padrão, o que autoriza incondicionalmente qualquer solicitação que contenha um token Keystone válido. Isso ocorre independentemente das funções, associação de projeto ou escopo do usuário. Consequentemente, um usuário autenticado sem funções atribuídas pode realizar várias ações, como a reprogramação de bitstreams de FPGA (Field Programmable Gate Array) em nós de computação arbitrários via RPC (Remote Procedure Call) do agente.

Recomendações Atualizar para a versão 16.0.1.