CVE-2026-42998 in Keystone信息

摘要

由 VulDB • 2026-05-28

在 OpenStack Keystone 29.0.2 之前的版本中发现了一个问题。Keystone 的应用程序凭据身份验证插件未验证身份验证请求中提供的用户是否与应用程序凭据的所有者匹配。攻击者可以使用自己的应用程序凭据 ID 和密钥进行身份验证，同时在请求正文中指定其他用户的名称和域。Keystone 会颁发归属于受害用户的令牌。被冒充的令牌是项目范围的，并包含应用程序凭据的角色与受害者在该项目上的实际角色的交集。这使攻击者能够规避审计、读取受害者的凭据，并在共享项目中冒充受害者。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

MITRE

预定

2026-05-01

披露

2026-05-28

管理

已接受

条目

VDB-366872

CPE

准备好

CWE

CWE-863 (已确认)

CVSS

6.0 (CNA)

EPSS

0.00064

KEV

否

活动

低

部门

Transportation, Hospital, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42998
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42998
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42998/

◂ 上一步一览下一步 ▸

Want to know what is going to be exploited?

We predict KEV entries!