OpenStack Mistral w wersji do 22.0.0 umożliwia zdalne wykonanie dowolnego kodu (RCE) w sytuacji, gdy API usługi jest publicznie lub sieciowo dostępne. Podatność jest krytyczna, ponieważ może prowadzić do przejęcia kontroli nad środowiskiem i wycieku poświadczeń usług.
▸ Pokaż oryginał (EN)
OpenStack Mistral through 22.0.0 allows Arbitrary Remote Code Execution when the API is exposed. There are endpoints that allow code execution, which can lead to exfiltration of service credentials.
Usługa OpenStack Mistral udostępnia endpointy API, które nie ograniczają w wystarczającym stopniu wykonywania kodu (CWE-863 — nieprawidłowa autoryzacja). Uwierzytelniony użytkownik z podstawowymi uprawnieniami (PR:L) może wysłać odpowiednio spreparowane żądanie do takich endpointów, powodując wykonanie dowolnego kodu po stronie serwera. Podatność nie wymaga interakcji użytkownika po stronie ofiary i ma zasięg wykraczający poza komponent podatny (S:C), co oznacza możliwość wpływu na inne zasoby infrastruktury OpenStack.
Atakujący może uzyskać pełną kontrolę nad serwerem (wysoki wpływ na poufność, integralność i dostępność), a także dokonać eksfiltracji poświadczeń usług OpenStack, co może umożliwić dalszy lateral movement w infrastrukturze chmurowej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (OSSA-2026-020 opublikowane przez OpenStack Security). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do API Mistral wyłącznie do zaufanych hostów przy użyciu firewall lub reguł sieciowych.
OpenStack Mistral we wszystkich wersjach do 22.0.0 włącznie, gdy API usługi jest wystawione na dostęp sieciowy.
Podatność zgłoszona na liście oss-security w dniu 2026-06-03. Szczegóły dostępne w komunikacie bezpieczeństwa OpenStack OSSA-2026-020.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H