Podatność CVE-2020-12690


Publikacja: 2020-05-07

Opis:
An issue was discovered in OpenStack Keystone before 15.0.1, and 16.0.0. The list of roles provided for an OAuth1 access token is silently ignored. Thus, when an access token is used to request a keystone token, the keystone token contains every role assignment the creator had for the project. This results in the provided keystone token having more role assignments than the creator intended, possibly giving unintended escalated access.

Typ:

CWE-613

(Insufficient Session Expiration)

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
6.5/10
6.4/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Openstack -> Keystone 

 Referencje:
http://www.openwall.com/lists/oss-security/2020/05/07/3
https://bugs.launchpad.net/keystone/+bug/1873290
https://security.openstack.org/ossa/OSSA-2020-005.html
https://www.openwall.com/lists/oss-security/2020/05/06/6

Copyright 2024, cxsecurity.com

 

Back to Top