CVE-2026-40683 in Keystoneinformación

Resumen

por VulDB • 2026-05-12

En OpenStack Keystone anterior a la versión 28.0.1, el backend de identidad LDAP no convierte el atributo de usuario habilitado a un valor booleano cuando la opción de configuración user_enabled_invert es False (el valor predeterminado). El método _ldap_res_to_model de la clase UserApi solo realizaba la conversión de cadena a booleano cuando user_enabled_invert era True. Cuando era False, se utilizaba directamente el valor de cadena crudo procedente de LDAP (por ejemplo, "FALSE"). Dado que las cadenas no vacías se consideran verdaderas (truthy) en Python, los usuarios marcados como deshabilitados en LDAP eran tratados como habilitados por Keystone, lo que les permitía autenticarse y realizar acciones. Todas las implementaciones que utilizan el backend de identidad LDAP sin tener user_enabled_invert=True o user_enabled_emulation están afectadas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

MITRE

Reservar

2026-04-14

Divulgación

2026-04-14

Moderación

aceptado

Artículo

VDB-357584

CPE

listo

EPSS

0.00025

KEV

no

Actividades

muy bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40683
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40683
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40683/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!