CVE-2026-54421
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W OpenStack Ironic przed wersją 37.0.1, podczas stosowania PATCH do aktualizacji pól w właściwościach woluminu, do których użytkownik ma uprawnienia, Ironic może zwrócić nieprzetworzone informacje wrażliwe, takie jak dane uwierzytelniające iSCSI.
Ocena ryzyka
Zagrożenie polega na możliwości ujawnienia wrażliwych informacji, co może prowadzić do nieautoryzowanego dostępu do zasobów. Organizacje powinny być świadome ryzyka związanego z ujawnieniem danych uwierzytelniających.
Rekomendacja
Zaleca się aktualizację OpenStack Ironic do wersji 37.0.1 lub nowszej, aby zlikwidować tę podatność. Należy również przeprowadzić audyt dostępu do wrażliwych informacji.
Oryginalny opis (angielski, źródło NVD)
In OpenStack Ironic before 37.0.1, when applying a PATCH to update fields in volume properties the user is authorized for, Ironic can return unredacted sensitive information (such as iSCSI credentials). The PATCH outcome is a security issue; the POST outcome is not a security issue.

