CVE-2026-5412
KrytyczneStreszczenie
W wersjach Juju przed 2.9.57 i 3.6.21 występuje problem z autoryzacją w fasadzie kontrolera. Użytkownik z autoryzacją może wywołać metodę API CloudSpec, aby wydobyć dane uwierzytelniające chmury używane do uruchomienia kontrolera.
Ocena ryzyka
Niski poziom uprawnień użytkownika może prowadzić do dostępu do wrażliwych danych uwierzytelniających, co stwarza ryzyko nieautoryzowanego dostępu do zasobów chmurowych.
Rekomendacja
Zaleca się aktualizację do wersji Juju 2.9.57 lub 3.6.21, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
In Juju versions prior to 2.9.57 and 3.6.21, an authorization issue exists in the Controller facade. An authenticated user can call the CloudSpec API method to extract the cloud credentials used to bootstrap the controller. This allows a low-privileged user to access sensitive credentials. This issue is resolved in Juju versions 2.9.57 and 3.6.21.

