CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-42998

MediumCVSS 6.0
Published: Updated: Translated: NVD NIST

Summary

W aplikacji OpenStack Keystone przed wersją 29.0.2 występuje problem z weryfikacją użytkownika wtyczki uwierzytelniania aplikacji. Atakujący może uwierzytelnić się za pomocą własnego identyfikatora i sekretu aplikacji, podając jednocześnie nazwę i domenę innego użytkownika, co prowadzi do wydania tokena przypisanego do ofiary.

Risk Assessment

Podatność ta umożliwia atakującemu unikanie audytów, odczytywanie danych uwierzytelniających ofiary oraz działanie w imieniu ofiary w ramach wspólnych projektów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację OpenStack Keystone do wersji 29.0.2 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji użytkowników w procesie uwierzytelniania.

Original NVD description (English source)

An issue was discovered in OpenStack Keystone before 29.0.2. The Keystone application credential authentication plugin does not verify that the user supplied in the authentication request matches the owner of the application credential. An attacker can authenticate with their own application credential ID and secret while specifying a different user's name and domain in the request body. Keystone issues a token attributed to the victim user. The impersonated token is project-scoped and carries the intersection of the application credential's roles and the victim's actual roles on the project. This enables audit evasion, reading the victim's credentials, and acting as the victim within shared projects.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS