OpenStack - CVE-2026-28370
Date de publication :
Une vulnérabilité dans le parseur de requêtes d’OpenStack Vitrage (fonction _create_query_function dans vitrage/graph/query.py) provient d’une évaluation dynamique de contenu insuffisamment maîtrisée dans la construction/traitement des requêtes.
Un utilisateur autorisé à accéder à l’API Vitrage peut soumettre une requête spécialement préparée conduisant à l’exécution de code sur l’hôte exécutant le service Vitrage, avec les privilèges du compte système sous lequel tourne Vitrage. Le périmètre d’impact couvre tous les déploiements exposant l’API Vitrage, et la compromission peut s’étendre au service lui-même et à l’hôte.
Elle permet une exécution de code arbitraire (à distance).
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-95 : Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• OpenStack Vitrage versions antérieures à 12.0.1
• OpenStack Vitrage versions antérieures à 13.0.0
• OpenStack Vitrage versions antérieures à 14.0.0
• OpenStack Vitrage versions antérieures à 15.0.0
Solutions ou recommandations
• OpenStack Vitrage versions 13.0.0 et supérieures
• OpenStack Vitrage versions 14.0.0 et supérieures
• OpenStack Vitrage versions 15.0.0 et supérieures