CRITICAL🇬🇧 English

CVE-2026-28370

RCE w OpenStack Vitrage — wykonanie kodu przez parser zapytań API

CVSS 9.1v3.1pub. 2026-02-27upd. 2026-03-05

Podatność w parserze zapytań OpenStack Vitrage umożliwia uwierzytelnionemu użytkownikowi API zdalne wykonanie kodu (RCE) na hoście usługi Vitrage. Skutkuje to nieautoryzowanym dostępem do systemu z uprawnieniami konta usługowego Vitrage.

Pokaż oryginał (EN)

In the query parser in OpenStack Vitrage before 12.0.1, 13.0.0, 14.0.0, and 15.0.0, a user allowed to access the Vitrage API may trigger code execution on the Vitrage service host as the user the Vitrage service runs under. This may result in unauthorized access to the host and further compromise of the Vitrage service. All deployments exposing the Vitrage API are affected. This occurs in _create_query_function in vitrage/graph/query.py.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-95 (Improper Neutralization of Directives in Dynamically Evaluated Code) występuje w funkcji _create_query_function w pliku vitrage/graph/query.py. Parser zapytań API nie przeprowadza właściwej walidacji ani sanityzacji danych wejściowych dostarczanych przez użytkownika, co pozwala na wstrzyknięcie i wykonanie dowolnego kodu po stronie serwera. Exploitacja jest możliwa przez sieć bez interakcji po stronie ofiary, wymaga jednak posiadania uprawnień do korzystania z Vitrage API (PR:H).

Skutki

Atakujący może wykonać dowolny kod na hoście, na którym działa usługa Vitrage, z uprawnieniami konta tej usługi, co może prowadzić do dalszego kompromitowania infrastruktury OpenStack. Możliwy jest nieuprawniony dostęp do hosta oraz naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować OpenStack Vitrage do wersji 12.0.1 lub nowszej (odpowiednio 13.0.0, 14.0.0, 15.0.0 dla poszczególnych gałęzi). Dodatkowo należy ograniczyć dostęp do Vitrage API wyłącznie do zaufanych, autoryzowanych użytkowników oraz rozważyć izolację sieciową usługi.

Kogo dotyczy

OpenStack Vitrage we wszystkich wersjach przed 12.0.1, 13.0.0, 14.0.0 oraz 15.0.0. Zagrożone są wszystkie wdrożenia eksponujące Vitrage API.

Uwagi

Podatność dotyczy wyłącznie użytkowników posiadających dostęp do Vitrage API (wektor CVSS wskazuje PR:H). Szczegóły techniczne oraz kod podatnej funkcji są publicznie dostępne w repozytorium GitHub projektu Vitrage.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Openstack Vitrage

    APP
    Openstack
    < 12.0113.0.0 – 13.0.1 (bez)14.0.0 – 14.0.1 (bez)15.0.0 – 15.0.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-28718CRITICAL9.8PL ✓ten sam vendor

RCE w OpenStack Magnum — podatność w komponencie cert_manager.py

CVE-2021-38598CRITICAL9.1ten sam vendor

OpenStack Neutron before 16.4.1, 17.x before 17.1.3, and 18.0.0 allows hardware address impersonation when the...

CVE-2020-26943CRITICAL9.9ten sam vendor

An issue was discovered in OpenStack blazar-dashboard before 1.3.1, 2.0.0, and 3.0.0. A user allowed to access...

CVE-2013-2166CRITICAL9.8ten sam vendor

python-keystoneclient version 0.2.3 to 0.2.5 has middleware memcache encryption bypass

CVE-2013-2167CRITICAL9.8ten sam vendor

python-keystoneclient version 0.2.3 to 0.2.5 has middleware memcache signing bypass