CVE-2026-42998

Nome do Software Vulnerável e Versões Afetadas OpenStack Keystone versões anteriores a 29.0.2

Description O plugin de autenticação de credenciais de aplicativo falha ao verificar se o usuário fornecido na solicitação de autenticação é o proprietário real da credencial do aplicativo. Um invasor pode usar seu próprio ID e segredo de credencial de aplicativo enquanto especifica o nome e o domínio de um usuário diferente no corpo da solicitação. Isso resulta na emissão de um token com escopo de projeto atribuído ao usuário vítima, contendo a interseção das funções da credencial do aplicativo e as funções da vítima dentro do projeto. Essa falha permite a evasão de auditoria, o acesso às credenciais da vítima e a capacidade de agir como a vítima em projetos compartilhados.

Recommendations Atualizar para a versão 29.0.2.