OpenStackのOpenstack Keystoneにおける不正な認証に関する脆弱性
| Title |
OpenStackのOpenstack Keystoneにおける不正な認証に関する脆弱性
|
| Summary |
OpenStack Keystoneのバージョン14から26の26.1.1、27.0.0、28.0.0、29.0.0以前に問題が発見されました。制限付きアプリケーション認証情報を使用すると、EC2認証情報を作成可能です。制限付きアプリケーション認証情報を用いてEC2認証情報作成APIを呼び出すことで、リーダーロールのみを持つ認証ユーザーが親ユーザーのS3権限のフルセットを有するEC2/S3認証情報を取得でき、その結果、アプリケーション認証情報に課されたロールの制限を実質的に回避できます。この問題は、制限付きアプリケーション認証情報をEC2/S3互換API(swift3 / s3api)と組み合わせて使用している環境にのみ影響します。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 10, 2026, midnight |
| Registration Date |
June 8, 2026, 12:32 p.m. |
| Last Update |
June 8, 2026, 12:32 p.m. |
|
CVSS3.0 : 警告
|
| Score |
5.3
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
Affected System
| OpenStack |
|
Openstack Keystone 14.0.0 以上 26.1.1 未満
|
|
Openstack Keystone 27.0.0
|
|
Openstack Keystone 28.0.0
|
|
Openstack Keystone 29.0.0
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月08日]
掲載 |
June 8, 2026, 12:32 p.m. |
NVD Vulnerability Information
CVE-2026-33551
| Summary |
An issue was discovered in OpenStack Keystone 14 through 26 before 26.1.1, 27.0.0, 28.0.0, and 29.0.0. Restricted application credentials can create EC2 credentials. By using a restricted application credential to call the EC2 credential creation API, an authenticated user with only a reader role may obtain an EC2/S3 credential that carries the full set of the parent user's S3 permissions, effectively bypassing the role restrictions imposed on the application credential. Only deployments that use restricted application credentials in combination with the EC2/S3 compatibility API (swift3 / s3api) are affected.
|
| Publication Date |
April 10, 2026, 12:16 p.m. |
| Registration Date |
April 15, 2026, 11:35 a.m. |
| Last Update |
April 14, 2026, 12:02 a.m. |
Related information, measures and tools
Common Vulnerabilities List