CVE-2026-40683 in Keystoneinformação

Sumário

de VulDB • 20/05/2026

No OpenStack Keystone anterior à versão 28.0.1, o backend de identidade LDAP não converte o atributo de habilitação do usuário para um valor booleano quando a opção de configuração user_enabled_invert é False (o padrão). O método _ldap_res_to_model na classe UserApi realizava a conversão de string para booleano apenas quando user_enabled_invert era True. Quando False, o valor de string bruto proveniente do LDAP (por exemplo, "FALSE") era utilizado diretamente. Como strings não vazias são consideradas truthy em Python, os usuários marcados como desabilitados no LDAP eram tratados como habilitados pelo Keystone, permitindo que autenticassem e executassem ações. Todas as implantações que utilizam o backend de identidade LDAP sem user_enabled_invert=True ou user_enabled_emulation estão afetadas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

MITRE

Reservar

14/04/2026

Divulgação

14/04/2026

Moderação

aceite

Entrada

VDB-357584

CPE

pronto

EPSS

0.00025

KEV

não

Atividades

muito baixo

Sector

Government, Hospital, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40683
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40683
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40683/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!