CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49299

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.30%

21th percentile - higher than 21% of all known CVEs

Summary

W OpenStack Neutron przed wersją 28.0.1 kontroler tagowania wymusza użycie liczby mnogiej w nazwach akcji polityki dla operacji zapisu z pojedynczym tagiem, podczas gdy zdefiniowane zasady polityki używają nazw w liczbie pojedynczej. Niezgodność ta pozwala na tworzenie i aktualizowanie tagów przez czytelników projektów na zasobach w tym samym projekcie.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowane modyfikacje tagów w zasobach, co może prowadzić do niezamierzonych zmian w konfiguracji i zarządzaniu zasobami. To stwarza ryzyko naruszenia integralności danych w projektach.

Recommendation

Zaleca się aktualizację OpenStack Neutron do wersji 28.0.1 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt polityk dostępu, aby upewnić się, że są one zgodne z wymaganiami bezpieczeństwa.

Original NVD description (English source)

In OpenStack Neutron before 28.0.1, the tagging controller enforces plural policy action names on single-tag write operations while the defined policy rules use singular names. The mismatched names evaluate as allowed under the default policy, permitting a project reader to create and update tags on same-project resources. Deployments running Neutron 26.0.0 or later are affected.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS