OSSA-2026-011: Cyborg 加速器管理中的多个访问控制漏洞 漏洞概述 Red Hat 的 Sean Mooney 报告了 OpenStack Cyborg 中的多个访问控制漏洞: 1. 默认策略规则允许任何经过身份验证的用户访问所有角色或项目范围的 API 端点(CVE-2026-40213)。 2. 加速器请求(ARQ)资源缺乏项目所有权强制执行,允许用户枚举、删除或操作属于其他项目的 ARQ(CVE-2026-40214)。 影响范围 受影响版本: - Cyborg >=3.0.0 =15.0.0 =16.0.0 <16.0.1 版本差异: - CVE-2026-40213(策略绕过)影响 5.0.0 及更高版本。 - CVE-2026-40214(缺少所有权)影响 3.0.0 及更高版本。 修复方案 请根据您使用的版本应用以下补丁: 1.0 (Pony): - v987698 - v987699 - v987700 - v987701 - v987702 2.0 (Flamingo): - v987691 - v987703 - v987692 - v987693 - v987694 - v987695 - v987696 - v987697 1.0 (Patched): - v987687 - v987688 - v987689 1.0 (Patched): - v987690 - v987691 - v987692 - v987693 - v987694 - v987695 - v987696 - v987697 - v987698 - v987699 - v987700 - v987701 - v987702 - v987703 参考链接 Launchpad Bug 2145203 Launchpad Bug 2144656 NIST NVD CVE-2026-40213 NIST NVD CVE-2026-40214