Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Debian›Дистрибутивdebian

Python-keystonemiddleware

Уязвимости

5

Эксплуатируемые

0

Макс. CVSS

9.9

Макс. EPSS

0.02586

Распределение по критичности

Критический

1

Высокий

1

Средний

3

Низкий

0

Также сопоставлено как (исходные строки): python-keystonemiddleware

Топ уязвимостей

CVE-2026-22797Проблема была обнаружена в OpenStack keystonemiddledleware 10.5-10.7 до 10.7.2, 10.8 и 10.9 до 10.9.1 и с 10,10 по 10.12 до 10.12.1. Промежуточный программный обеспечение external_outh2_token не может дезинфицировать входящие заголовки аутентификации перед обработкой токенов OAuth 2.0. Отправляя поддельные заголовки идентификационных данных, такие как X-Is-Admin-Project, X-Roles или X-User-Id, аутентифицированный злоумышленник может усиливать привилегии или выдавать себя за других пользователей. Все развертывания, использующие промежуточного программного обеспечения external_oauth2_token, затронуты.

CVE-2015-7546Служба идентификации в OpenStack Identity (Keystone) версий до 2015.1.3 (Kilo) и 8.0.x версий до 8.0.2 (Liberty) и keystonemiddleware (ранее python-keystoneclient) версий до 1.5.4 (Kilo) и Liberty до 2.3.3 неправильно аннулирует токены авторизации при использовании поставщиков токенов PKI или PKIZ, что позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения доступа и получать доступ к облачным ресурсам путем манипулирования байтовыми полями в отозванном токене.

CVE-2015-1852Промежуточное программное обеспечение s3_token в OpenStack keystonemiddleware до версии 1.6.0 и python-keystoneclient до версии 1.4.0 отключает проверку сертификатов, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки "человек посередине" через специально созданный сертификат, что является другой уязвимостью, чем CVE-2014-7144.

CVE-2022-2447Обнаружена уязвимость в Keystone. Существует временная задержка (до одного часа в конфигурации по умолчанию) между моментом, когда политика безопасности говорит, что токен должен быть отозван, и моментом, когда он фактически отозван. Это может позволить удаленному администратору тайно поддерживать доступ дольше, чем ожидалось.

CVE-2014-7144OpenStack keystonemiddleware (ранее python-keystoneclient) 0.x до 0.11.0 и 1.x до 1.2.0 отключает проверку сертификации, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки типа "человек посередине" через специально созданный сертификат.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →