CVE-2026-44393

Nome do Software Vulnerável e Versões Afetadas oslo.messaging versões 1.0.0 a 17.3.0

Descrição O driver RabbitMQ no oslo.messaging não realiza a verificação do nome do host TLS ao se conectar ao broker de mensagens. Embora o driver habilite a validação da cadeia de certificados quando o ssl ca file está configurado, ele não passa o nome do host do broker esperado para a pilha TLS. Consequentemente, qualquer certificado assinado pela CA de implantação é aceito, independentemente do nome do host. Isso permite que um invasor capaz de interceptar o tráfego do plano de controle se passe pelo broker RabbitMQ e execute um ataque de man-in-the-middle no tráfego de RPC e notificações. Todos os serviços OpenStack que utilizam oslo.messaging com RabbitMQ sobre TLS são impactados.

Recomendações Atualize para a versão 18.1.0-1.1 ou posterior.