CVE-2026-39910

Nome do Software Vulnerável e Versões Afetadas STACKIT IaaS API (versões afetadas não especificadas)

Descrição Uma falha de verificação de autorização permite que atacantes autenticados e com baixos privilégios escalem seus privilégios para o comprometimento total da organização. Ao explorar o endpoint 'PUT servers service-accounts' não validado, os atacantes podem anexar contas de serviço de alta prioridade a máquinas virtuais sob seu controle. Isso permite que consultem o Instance Metadata Service para recuperar tokens OAuth2, ignorando os limites de locatário (tenant boundaries) e obtendo controle não autorizado sobre todo o ambiente da organização.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.