CVE-2026-44394 in Keystoneالمعلومات

الملخص

بحسب VulDB • 29/05/2026

تم اكتشاف مشكلة في OpenStack Keystone قبل الإصدار 29.0.2. لا يقوم آلية إعادة تحديد نطاق رمز المصادقة الموحد (federated token rescoping) في Keystone بنقل تاريخ انتهاء صلاحية الرمز الأصلي إلى الرمز الجديد المُصدر. عندما يعيد مستخدم موحد تحديد نطاق رمز المصادقة عبر POST /v3/auth/tokens، فإن دالة handle_scoped_token() في مكون المصادقة المapped authentication plugin تُرجع بيانات الاستجابة دون قيمة expires_at. في هذه الحالة، يعود مزود الرموز (token provider) إلى إصدار رمز جديد مع مدة صلاحية افتراضية جديدة (TTL). ومن خلال إعادة تحديد نطاق الرمز بشكل متكرر قبل انتهاء صلاحية كل رمز، يمكن للمستخدم الحفاظ على الوصول بشكل غير محدود، متجاوزًا سياسات عمر الرمز التي يحددها المشغل. هذه الحالة هي نوع من أنواع CVE-2012-3426. تتأثر فقط التطبيقات التي تستخدم هوية موحدة (SAML2، OpenID Connect).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

MITRE

حجز

05/05/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366865

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

6.0 (CNA)

EPSS

0.00052

KEV

لا

النشاطات

منخفض جدًا

القطاع

Government, Hostingprovider, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44394
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44394
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44394/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!