Katalog CVE

CVE-2026-5412

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach Juju przed 2.9.57 i 3.6.21 występuje problem z autoryzacją w fasadzie kontrolera. Użytkownik z autoryzacją może wywołać metodę API CloudSpec, aby wydobyć dane uwierzytelniające chmury używane do uruchomienia kontrolera.

Ocena ryzyka

Niski poziom uprawnień użytkownika może prowadzić do dostępu do wrażliwych danych uwierzytelniających, co stwarza ryzyko nieautoryzowanego dostępu do zasobów chmurowych.

Rekomendacja

Zaleca się aktualizację do wersji Juju 2.9.57 lub 3.6.21, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

In Juju versions prior to 2.9.57 and 3.6.21, an authorization issue exists in the Controller facade. An authenticated user can call the CloudSpec API method to extract the cloud credentials used to bootstrap the controller. This allows a low-privileged user to access sensitive credentials. This issue is resolved in Juju versions 2.9.57 and 3.6.21.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS