1.2 Aktiv ausgenutzte Lücken
Virtualisierung, Hypervisor, Cloud-Infra

OpenStack

Virtualisierung, Hypervisor, Cloud-Infra

OpenStack gehört zur Kategorie „Virtualisierung, Hypervisor, Cloud-Infra". xonatec überwacht OpenStack kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.

20
Reports
1
Aktiv ausgenutzt
Kritisch
Höchste Priorität
96.3%
Max. EPSS

Schwachstellen-Reports

20 Reports

Zeige 1 bis 20 von 20

  1. Linux Kernel – Incorrect Resource Transfer Between Spheres (Copy Fail)

    CVE-2026-31431 Hoch Aktiv ausgenutzt

    Im Linux-Kernel wurde eine Schwachstelle in der Krypto-Schicht (algif_aead) identifiziert, die durch eine fehlerhafte Ressourcenübertragung zwischen Sicherheitsbereichen ausgelöst wird ("Copy Fail"). CVSS-Basiswert: 7.8 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.3 %. 3 Produkt(e) betroffen, 1 mit Fix. Ein manuell erfasster Community-Beitrag (r/cybersecurity) datiert die KEV-Aufnahme auf den 2026-05-01 und verweist auf die "Copy Fail"-Analyse von Theori, die den Fehler der In-place-Verarbeitung von AF_ALG/AEAD zuordnet; als besonders exponiert gelten dort geteilte CI-Runner, Kubernetes-Knoten und mandantenfähige Linux-Hosts. Empfohlene Massnahme: Kernel-Patchstand nachweisen oder die Nutzung von AF_ALG einschränken.

    CVSS: 7.8 EPSS: 96.27% Publiziert: Referenz: CISA KEV
  2. OpenStack Mistral: Remote Code Execution bei exponierter API

    CVE-2026-41283 Kritisch

    OpenStack Mistral bis einschliesslich Version 22.0.0 erlaubt laut NVD beliebige Codeausführung aus der Ferne, sofern die API exponiert ist: Einzelne Endpunkte gestatten die Ausführung von Code, was zur Exfiltration von Dienst-Zugangsdaten führen kann. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Mistral-API nicht exponiert betreiben und den Zugriff netzseitig einschränken.

    CVSS: 9.9 EPSS: 0.23% Publiziert: Referenz: NVD
  3. OpenStack Vitrage: Remote Code Execution über Query-Parser

    CVE-2026-28370 Kritisch

    Im Query-Parser von OpenStack Vitrage vor den Versionen 12.0.1, 13.0.0, 14.0.0 und 15.0.0 kann ein Nutzer mit Zugriff auf die Vitrage-API eine Codeausführung auf dem Vitrage-Service-Host auslösen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD
  4. OpenStack ironic-python-agent: Unsichere grub-install-Ausführung in Chroot

    CVE-2026-43003 Hoch

    In OpenStack ironic-python-agent (IPA) von Version 1.0.0 bis 11.5.0 wird grub-install in bestimmten Fällen innerhalb eines Chroots des bereitgestellten Partition-Images ausgeführt, was zu unbeabsichtigter Codeausführung führen kann. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.0 EPSS: 0.04% Publiziert: Referenz: NVD
  5. OpenStack Keystone: Fehlende Projektvalidierung bei EC2-Credentials

    CVE-2026-43001 Hoch

    In OpenStack Keystone vor Version 29.0.2 validiert der Endpunkt POST /v3/credentials nicht, ob die vom Aufrufer angegebene project_id für ein EC2-Credential mit dem Projekt des authentifizierten Nutzers übereinstimmt. CVSS-Basiswert: 7.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.9 EPSS: 0.02% Publiziert: Referenz: NVD
  6. OpenStack oslo.messaging: Fehlende TLS-Hostname-Verifizierung

    CVE-2026-44393 Hoch

    In OpenStack oslo.messaging 1.0.0 bis 17.3.0 führt der RabbitMQ-Treiber beim Verbindungsaufbau zum Message-Broker keine TLS-Hostname-Verifizierung durch. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 7.4 EPSS: 0.01% Publiziert: Referenz: NVD
  7. OpenStack Nova: Server-Create-API entfernt bestimmte Hint-Daten nicht

    CVE-2026-46448 Mittel

    In OpenStack Nova vor Version 33.0.2 entfernt die Server-Create-API bestimmte Hint-Daten nicht. Die daraus entstehende Instanz besitzt keine Placement-Allocation. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: OpenStack Nova auf Version 33.0.2 oder neuer aktualisieren.

    CVSS: 5.4 EPSS: 0.27% Publiziert: Referenz: NVD
  8. OpenStack Swift – Fehlende Filterung interner Update-Header

    CVE-2026-50221 Mittel

    In OpenStack Swift vor Version 2.37.2 entfernt der proxy-server interne Update-Header (X-Container-Host, X-Container-Device, X-Delete-At-Host, X-Delete-At-Device) nicht aus Client-Anfragen, bevor er sie weiterleitet. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf OpenStack Swift 2.37.2 oder neuer aktualisieren.

    CVSS: 5.4 EPSS: 0.15% Publiziert: Referenz: NVD
  9. OpenStack Ironic: Datei-Überschreiben durch Directory Traversal

    CVE-2026-48681 Mittel

    OpenStack Ironic vor Version 35.0.2 erlaubt während der Bereitstellung mit einem präparierten ISO-Image das Überschreiben von Dateien durch Directory Traversal. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf OpenStack Ironic 35.0.2 oder neuer aktualisieren.

    CVSS: 5.9 EPSS: 0.13% Publiziert: Referenz: NVD
  10. OpenStack Keystone: Token-Ablaufzeit wird bei Federated Rescoping nicht übernommen

    CVE-2026-44394 Mittel

    In OpenStack Keystone vor Version 29.0.2 überträgt der Mechanismus zum Rescoping von Federated Tokens die Ablaufzeit des ursprünglichen Tokens nicht auf den neu ausgestellten Token. Dies kann dazu führen, dass neu ausgestellte Tokens länger gültig sind als vorgesehen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.0 EPSS: 0.06% Publiziert: Referenz: NVD
  11. OpenStack Keystone: Fehlende Nutzervalidierung bei Application Credentials

    CVE-2026-42998 Mittel

    In OpenStack Keystone vor Version 29.0.2 prüft das Application-Credential-Authentifizierungs-Plugin nicht, ob der in der Authentifizierungsanfrage angegebene Nutzer mit dem Inhaber des Application Credentials übereinstimmt. Dies kann zur unbefugten Authentifizierung führen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 6.0 EPSS: 0.06% Publiziert: Referenz: NVD
  12. OpenStack Swift: Endlosschleife bei abgeschnittenem aws-chunked PUT-Request

    CVE-2026-49017 Mittel

    In OpenStack Swift vor den Versionen 2.36.2 und 2.37.2 gerät die s3api-Middleware beim Verarbeiten eines abgeschnittenen aws-chunked PUT-Anfrage-Bodys in eine Endlosschleife, da die StreamingInput-Klasse wiederholt einen leeren Puffer anhängt. Dies kann zur Dienstverweigerung (DoS) führen. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    EPSS: 0.05% Publiziert: Referenz: NVD
  13. OpenStack Ironic – Denial of Service über präparierte JSON-Anfrage

    CVE-2026-50589 Mittel

    In OpenStack Ironic 32 vor Version 37.0.0 kann ein nicht authentifizierter Angreifer eine präparierte JSON-Zeichenkette an bestimmte Endpunkte des API- oder JSON-RPC-Dienstes senden und damit einen Absturz des Dienstes herbeiführen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf OpenStack Ironic 37.0.0 oder neuer aktualisieren.

    CVSS: 5.3 EPSS: 0.04% Publiziert: Referenz: NVD
  14. OpenStack Neutron – Policy-Namens-Fehler in Tagging-Controller

    CVE-2026-49299 Mittel

    In OpenStack Neutron vor Version 28.0.1 wendet der Tagging-Controller für einzelne Schreib-Operationen auf Tags Plural-Aktionsnamen durch, während die definierten Policy-Regeln Singular-Namen verwenden. Dieser Namens-Mismatch kann dazu führen, dass Zugriffskontrollen nicht korrekt greifen. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    EPSS: 0.04% Publiziert: Referenz: NVD
  15. OpenStack Keystone: RBAC Policy Enforcement – unkontrolliertes JSON-Merge

    CVE-2026-42999 Mittel

    In OpenStack Keystone vor Version 29.0.2 führt der RBAC-Policy-Enforcer in enforce_call das rohe JSON des Anfrage-Bodys bedingungslos in das Policy-Enforcement-Dictionary zusammen. Dies kann zur Umgehung von Zugriffskontrollen führen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.0 EPSS: 0.03% Publiziert: Referenz: NVD
  16. OpenStack Keystone: Privilege Escalation über Application Credential Impersonation

    CVE-2026-43000 Mittel

    In OpenStack Keystone vor Version 29.0.2 kann ein Angreifer mit der Member-Rolle auf einem Projekt in Kombination mit einer Application-Credential-Impersonation-Schwachstelle seine Rechte auf die Administratorebene eskalieren. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 6.0 EPSS: 0.03% Publiziert: Referenz: NVD
  17. OpenStack Ironic – Lesen lokaler Dateien über pxe_template

    CVE-2026-44917 Mittel

    OpenStack Ironic vor Version 35.0.2 erlaubt einem bösartigen, authentifizierten Project-Admin oder -Manager, über ein pxe_template lokale Dateien auf dem Ironic-Conductor zu lesen. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 4.9 EPSS: 0.03% Publiziert: Referenz: NVD
  18. OpenStack Ironic: Boot-Script-Injection einer iPXE-Datei

    CVE-2026-46447 Mittel

    OpenStack Ironic vor Version 35.0.2 erlaubt die Injection eines iPXE-Boot-Scripts, wenn der Angreifer `node.driver_info` oder `node.instance_info` setzen kann. CVSS-Basiswert: 5.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf OpenStack Ironic 35.0.2 oder neuer aktualisieren.

    CVSS: 5.8 EPSS: 0.02% Publiziert: Referenz: NVD
  19. OpenStack Keystone: Eingeschränkte Application Credentials erzeugen EC2-Credentials

    CVE-2026-33551 Niedrig

    In OpenStack Keystone 14 bis 26 (vor 26.1.1, 27.0.0, 28.0.0 und 29.0.0) können eingeschränkte Application Credentials EC2-Credentials erstellen und damit die vorgesehene Zugriffsbeschränkung umgehen. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Keystone-Version aktualisieren.

    CVSS: 3.5 EPSS: 0.03% Publiziert: Referenz: NVD
  20. OpenStack Neutron: Port-Manipulation auf gemeinsam genutzten Netzwerken

    CVE-2026-50266 Niedrig

    In OpenStack Neutron vor Version 28.0.1 kann ein Projekt-Manager einen Port auf einem gemeinsam genutzten Netzwerk eines anderen Projekts erstellen oder aktualisieren und device_owner auf einen Wert setzen, der mit „network:“ beginnt. CVSS-Basiswert: 2.2 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf OpenStack Neutron 28.0.1 oder neuer aktualisieren.

    CVSS: 2.2 EPSS: 0.03% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für OpenStack, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog