OpenStack - CVE-2026-41283

Date de publication :

Il s'agit d'une vulnérabilité de contournement de politique d'accès dans plusieurs endpoints de l'API REST d'OpenStack Mistral.

OpenStack Mistral est un service d'orchestration de workflows pour les environnements OpenStack, accessible via une API REST et basé sur un langage de description générique.

Ces endpoints ne mettent pas en œuvre les contrôles d'autorisation attendus, permettant à tout utilisateur authentifié de créer des ressources publiques et de soumettre du code arbitraire exécuté directement sur les workers Mistral executor. L'absence de vérification des permissions sur les opérations de création et d'upload constitue le vecteur d'exploitation. Les identifiants de service présents dans l'environnement d'exécution du worker sont accessibles à l'attaquant.

Elle permet à un attaquant distant authentifié d'exécuter du code arbitraire à distance sur les workers et d'exfiltrer des identifiants de service de l'infrastructure OpenStack sous-jacente.

CVE-2026-41283

[Score CVSS v3.1 : 9.9]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Exécution de code arbitraire (à distance)
•   Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-863 : Incorrect Authorization

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   OpenStack Mistral versions 20.0.0 jusqu'à 20.1.0 (versions antérieures à 20.1.1)
•   OpenStack Mistral version 21.0.0
•   OpenStack Mistral version 22.0.0

Solutions ou recommandations

•   OpenStack Mistral version 20.1.1 et supérieures pour la branche 20.x (2025.1/epoxy - patches disponibles sur review.opendev.org)
•   Correctifs disponibles pour la branche 2025.2/flamingo (patches disponibles sur review.opendev.org)
•   Correctifs disponibles pour la branche 2026.1/gazpacho (patches disponibles sur review.opendev.org)
•   Correctifs disponibles pour la branche 2026.2/hibiscus (patches disponibles sur review.opendev.org)

Liens