OpenStack
OpenStack gehört zur Kategorie „Virtualisierung, Hypervisor, Cloud-Infra". xonatec überwacht OpenStack kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) und liefert verdichtete, handlungsorientierte Reports – direkt per E-Mail, Webhook oder API.
Schwachstellen-Reports
20 ReportsZeige 1 bis 20 von 20
-
Linux Kernel – Incorrect Resource Transfer Between Spheres (Copy Fail)
CVE-2026-31431 Hoch Aktiv ausgenutztIm Linux-Kernel wurde eine Schwachstelle in der Krypto-Schicht (algif_aead) identifiziert, die durch eine fehlerhafte Ressourcenübertragung zwischen Sicherheitsbereichen ausgelöst wird ("Copy Fail"). CVSS-Basiswert: 7.8 (Hoch). Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 96.3 %. 3 Produkt(e) betroffen, 1 mit Fix. Ein manuell erfasster Community-Beitrag (r/cybersecurity) datiert die KEV-Aufnahme auf den 2026-05-01 und verweist auf die "Copy Fail"-Analyse von Theori, die den Fehler der In-place-Verarbeitung von AF_ALG/AEAD zuordnet; als besonders exponiert gelten dort geteilte CI-Runner, Kubernetes-Knoten und mandantenfähige Linux-Hosts. Empfohlene Massnahme: Kernel-Patchstand nachweisen oder die Nutzung von AF_ALG einschränken.
CVSS: 7.8 EPSS: 96.27% Publiziert: Referenz: CISA KEV -
OpenStack Mistral: Remote Code Execution bei exponierter API
CVE-2026-41283 KritischOpenStack Mistral bis einschliesslich Version 22.0.0 erlaubt laut NVD beliebige Codeausführung aus der Ferne, sofern die API exponiert ist: Einzelne Endpunkte gestatten die Ausführung von Code, was zur Exfiltration von Dienst-Zugangsdaten führen kann. CVSS-Basiswert: 9.9 (Kritisch), Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: die Mistral-API nicht exponiert betreiben und den Zugriff netzseitig einschränken.
CVSS: 9.9 EPSS: 0.23% Publiziert: Referenz: NVD -
OpenStack Vitrage: Remote Code Execution über Query-Parser
CVE-2026-28370 KritischIm Query-Parser von OpenStack Vitrage vor den Versionen 12.0.1, 13.0.0, 14.0.0 und 15.0.0 kann ein Nutzer mit Zugriff auf die Vitrage-API eine Codeausführung auf dem Vitrage-Service-Host auslösen. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.1 EPSS: 0.04% Publiziert: Referenz: NVD -
OpenStack ironic-python-agent: Unsichere grub-install-Ausführung in Chroot
CVE-2026-43003 HochIn OpenStack ironic-python-agent (IPA) von Version 1.0.0 bis 11.5.0 wird grub-install in bestimmten Fällen innerhalb eines Chroots des bereitgestellten Partition-Images ausgeführt, was zu unbeabsichtigter Codeausführung führen kann. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.0 EPSS: 0.04% Publiziert: Referenz: NVD -
OpenStack Keystone: Fehlende Projektvalidierung bei EC2-Credentials
CVE-2026-43001 HochIn OpenStack Keystone vor Version 29.0.2 validiert der Endpunkt POST /v3/credentials nicht, ob die vom Aufrufer angegebene project_id für ein EC2-Credential mit dem Projekt des authentifizierten Nutzers übereinstimmt. CVSS-Basiswert: 7.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.9 EPSS: 0.02% Publiziert: Referenz: NVD -
OpenStack oslo.messaging: Fehlende TLS-Hostname-Verifizierung
CVE-2026-44393 HochIn OpenStack oslo.messaging 1.0.0 bis 17.3.0 führt der RabbitMQ-Treiber beim Verbindungsaufbau zum Message-Broker keine TLS-Hostname-Verifizierung durch. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 7.4 EPSS: 0.01% Publiziert: Referenz: NVD -
OpenStack Nova: Server-Create-API entfernt bestimmte Hint-Daten nicht
CVE-2026-46448 MittelIn OpenStack Nova vor Version 33.0.2 entfernt die Server-Create-API bestimmte Hint-Daten nicht. Die daraus entstehende Instanz besitzt keine Placement-Allocation. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: OpenStack Nova auf Version 33.0.2 oder neuer aktualisieren.
CVSS: 5.4 EPSS: 0.27% Publiziert: Referenz: NVD -
OpenStack Swift – Fehlende Filterung interner Update-Header
CVE-2026-50221 MittelIn OpenStack Swift vor Version 2.37.2 entfernt der proxy-server interne Update-Header (X-Container-Host, X-Container-Device, X-Delete-At-Host, X-Delete-At-Device) nicht aus Client-Anfragen, bevor er sie weiterleitet. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf OpenStack Swift 2.37.2 oder neuer aktualisieren.
CVSS: 5.4 EPSS: 0.15% Publiziert: Referenz: NVD -
OpenStack Ironic: Datei-Überschreiben durch Directory Traversal
CVE-2026-48681 MittelOpenStack Ironic vor Version 35.0.2 erlaubt während der Bereitstellung mit einem präparierten ISO-Image das Überschreiben von Dateien durch Directory Traversal. CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf OpenStack Ironic 35.0.2 oder neuer aktualisieren.
CVSS: 5.9 EPSS: 0.13% Publiziert: Referenz: NVD -
OpenStack Keystone: Token-Ablaufzeit wird bei Federated Rescoping nicht übernommen
CVE-2026-44394 MittelIn OpenStack Keystone vor Version 29.0.2 überträgt der Mechanismus zum Rescoping von Federated Tokens die Ablaufzeit des ursprünglichen Tokens nicht auf den neu ausgestellten Token. Dies kann dazu führen, dass neu ausgestellte Tokens länger gültig sind als vorgesehen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.0 EPSS: 0.06% Publiziert: Referenz: NVD -
OpenStack Keystone: Fehlende Nutzervalidierung bei Application Credentials
CVE-2026-42998 MittelIn OpenStack Keystone vor Version 29.0.2 prüft das Application-Credential-Authentifizierungs-Plugin nicht, ob der in der Authentifizierungsanfrage angegebene Nutzer mit dem Inhaber des Application Credentials übereinstimmt. Dies kann zur unbefugten Authentifizierung führen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 6.0 EPSS: 0.06% Publiziert: Referenz: NVD -
OpenStack Swift: Endlosschleife bei abgeschnittenem aws-chunked PUT-Request
CVE-2026-49017 MittelIn OpenStack Swift vor den Versionen 2.36.2 und 2.37.2 gerät die s3api-Middleware beim Verarbeiten eines abgeschnittenen aws-chunked PUT-Anfrage-Bodys in eine Endlosschleife, da die StreamingInput-Klasse wiederholt einen leeren Puffer anhängt. Dies kann zur Dienstverweigerung (DoS) führen. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
EPSS: 0.05% Publiziert: Referenz: NVD -
OpenStack Ironic – Denial of Service über präparierte JSON-Anfrage
CVE-2026-50589 MittelIn OpenStack Ironic 32 vor Version 37.0.0 kann ein nicht authentifizierter Angreifer eine präparierte JSON-Zeichenkette an bestimmte Endpunkte des API- oder JSON-RPC-Dienstes senden und damit einen Absturz des Dienstes herbeiführen. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf OpenStack Ironic 37.0.0 oder neuer aktualisieren.
CVSS: 5.3 EPSS: 0.04% Publiziert: Referenz: NVD -
OpenStack Neutron – Policy-Namens-Fehler in Tagging-Controller
CVE-2026-49299 MittelIn OpenStack Neutron vor Version 28.0.1 wendet der Tagging-Controller für einzelne Schreib-Operationen auf Tags Plural-Aktionsnamen durch, während die definierten Policy-Regeln Singular-Namen verwenden. Dieser Namens-Mismatch kann dazu führen, dass Zugriffskontrollen nicht korrekt greifen. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
EPSS: 0.04% Publiziert: Referenz: NVD -
OpenStack Keystone: RBAC Policy Enforcement – unkontrolliertes JSON-Merge
CVE-2026-42999 MittelIn OpenStack Keystone vor Version 29.0.2 führt der RBAC-Policy-Enforcer in enforce_call das rohe JSON des Anfrage-Bodys bedingungslos in das Policy-Enforcement-Dictionary zusammen. Dies kann zur Umgehung von Zugriffskontrollen führen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.0 EPSS: 0.03% Publiziert: Referenz: NVD -
OpenStack Keystone: Privilege Escalation über Application Credential Impersonation
CVE-2026-43000 MittelIn OpenStack Keystone vor Version 29.0.2 kann ein Angreifer mit der Member-Rolle auf einem Projekt in Kombination mit einer Application-Credential-Impersonation-Schwachstelle seine Rechte auf die Administratorebene eskalieren. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 6.0 EPSS: 0.03% Publiziert: Referenz: NVD -
OpenStack Ironic – Lesen lokaler Dateien über pxe_template
CVE-2026-44917 MittelOpenStack Ironic vor Version 35.0.2 erlaubt einem bösartigen, authentifizierten Project-Admin oder -Manager, über ein pxe_template lokale Dateien auf dem Ironic-Conductor zu lesen. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 4.9 EPSS: 0.03% Publiziert: Referenz: NVD -
OpenStack Ironic: Boot-Script-Injection einer iPXE-Datei
CVE-2026-46447 MittelOpenStack Ironic vor Version 35.0.2 erlaubt die Injection eines iPXE-Boot-Scripts, wenn der Angreifer `node.driver_info` oder `node.instance_info` setzen kann. CVSS-Basiswert: 5.8 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf OpenStack Ironic 35.0.2 oder neuer aktualisieren.
CVSS: 5.8 EPSS: 0.02% Publiziert: Referenz: NVD -
OpenStack Keystone: Eingeschränkte Application Credentials erzeugen EC2-Credentials
CVE-2026-33551 NiedrigIn OpenStack Keystone 14 bis 26 (vor 26.1.1, 27.0.0, 28.0.0 und 29.0.0) können eingeschränkte Application Credentials EC2-Credentials erstellen und damit die vorgesehene Zugriffsbeschränkung umgehen. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Keystone-Version aktualisieren.
CVSS: 3.5 EPSS: 0.03% Publiziert: Referenz: NVD -
OpenStack Neutron: Port-Manipulation auf gemeinsam genutzten Netzwerken
CVE-2026-50266 NiedrigIn OpenStack Neutron vor Version 28.0.1 kann ein Projekt-Manager einen Port auf einem gemeinsam genutzten Netzwerk eines anderen Projekts erstellen oder aktualisieren und device_owner auf einen Wert setzen, der mit „network:“ beginnt. CVSS-Basiswert: 2.2 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: Auf OpenStack Neutron 28.0.1 oder neuer aktualisieren.
CVSS: 2.2 EPSS: 0.03% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für OpenStack, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.