Katalog CVE

CVE-2026-44394

ŚrednieCVSS 6.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W OpenStack Keystone przed wersją 29.0.2 zidentyfikowano problem związany z mechanizmem zmiany zakresu tokenów federacyjnych. Mechanizm ten nie przenosi daty wygaśnięcia oryginalnego tokena do nowo wydanego tokena, co pozwala użytkownikom na nieograniczony dostęp poprzez wielokrotne zmienianie zakresu tokena.

Ocena ryzyka

Organizacje mogą być narażone na ryzyko nieautoryzowanego dostępu, ponieważ użytkownicy mogą omijać polityki dotyczące czasu życia tokenów, co może prowadzić do naruszenia bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację OpenStack Keystone do wersji 29.0.2 lub nowszej, aby zabezpieczyć się przed tym problemem oraz przegląd polityk dotyczących zarządzania tokenami w środowiskach korzystających z tożsamości federacyjnej.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in OpenStack Keystone before 29.0.2. The Keystone federated token rescoping mechanism does not propagate the original token's expiry to the newly issued token. When a federated user rescopes a token via POST /v3/auth/tokens, the handle_scoped_token() function in the mapped authentication plugin returns response data without an expires_at value. The token provider falls back to issuing a token with a fresh default TTL. By rescoping repeatedly before each token expires, a user can maintain access indefinitely, bypassing operator-configured token lifetime policies. This is a variant of CVE-2012-3426. Only deployments using federated identity (SAML2, OpenID Connect) are affected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS