CVE-2026-50266

Nome do Software Vulnerável e Versões Afetadas OpenStack Neutron versões anteriores a 28.0.1

Descrição Um gerente de projeto pode criar ou atualizar uma porta em uma rede compartilhada pertencente a outro projeto ao definir a variável device owner para um valor que comece com "network:", como "network:dhcp". Isso ocorre porque as políticas padrão de Controle de Acesso Baseado em Função (RBAC) de porta incluem incorretamente a função PROJECT MANAGER sem exigir a propriedade da rede. Isso permite que um gerente de projeto obtenha o comportamento de porta de serviço de rede confiável em redes compartilhadas, o que pode ignorar as proteções de grupo de segurança e anti-spoofing. Consequentemente, isso pode permitir spoofing de DHCP, MAC ou IP contra outros locatários na rede compartilhada.

Recomendações Atualizar para a versão 28.0.1.