CVE-2026-40214

Nome do Software Vulnerável e Versões Afetadas OpenStack Cyborg versões anteriores a 16.0.1

Descrição A API Accelerator Request (ARQ) não impõe a propriedade do projeto. A coluna project id no banco de dados não é preenchida, as consultas ao banco de dados não possuem filtragem por projeto e as verificações de política são autorreferenciais, pois a função authorize wsgi compara o project id do chamador com ele mesmo em vez do recurso alvo. Isso permite que qualquer usuário não administrador autenticado execute diversas ações, como excluir ARQs vinculados a instâncias de outros projetos, resultando em uma negação de serviço entre locatários (cross-tenant denial of service).

Recomendações Atualize para a versão 16.0.1.