漏洞概述 漏洞名称: OSA-2026-026: Insufficient Access Controls in Ironic regarding Parent/Child Nodes 发布日期: 2026年7月8日 CVE编号: CVE-2026-44918 描述: 该漏洞涉及Ironic RBAC中的多个相关漏洞。授权的项目经理可以更改与Volume Connectors或Volume Target对象关联的节点,从而改变允许访问的权限。Volume Connectors包含在配置从卷启动的环境中使用的秘密信息。此问题被跟踪为bug #2150256。 影响: 未正确检测到的对象可以通过检查数据来发现。操作员应执行基本审计,确保预期数量的卷目标和卷连接器存在。此外,具有创建节点权限的项目经理可以使用不属于其项目的节点的UUID作为父节点创建节点。这种不匹配的父节点可用于影响操作,如强制其开机。此问题被跟踪为bug #2150450。 影响范围 受影响版本: - Ironic: >=27.0.0 =30.0.0 =33.0.0 =36.0.0 <37.0.1 修复方案 补丁链接: - https://review.opendev.org/c/openstack/ironic/+/996479 (2024.1/caracal (unmaintained)) - https://review.opendev.org/c/openstack/ironic/+/996478 (2025.1/epoxy) - https://review.opendev.org/c/openstack/ironic/+/996476 (2025.2/flamingo) - https://review.opendev.org/c/openstack/ironic/+/996469 (2025.1/patchpool) - https://review.opendev.org/c/openstack/ironic/+/996462 (2025.2/hibiscus) - https://review.opendev.org/c/openstack/ironic/+/996474 (Bugfix/33.6) - https://review.opendev.org/c/openstack/ironic/+/996471 (Bugfix/34.6) - https://review.opendev.org/c/openstack/ironic/+/996464 (Bugfix/37.6) 参考链接: - https://bugs.launchpad.net/ironic/+bug/2150256 - https://bugs.launchpad.net/ironic/+bug/2150450 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-44918 注意事项 Volume Targets和Volume Connectors仅在配置从卷启动的环境中包含敏感信息。 这些补丁还包含硬逻辑以防止此类漏洞在Port和Portgroup对象中发生。这是一种在API级别提供一致错误的防御措施。 分支2024.1/caracal未维护,补丁作为友好提供。 Bugfix分支将在git中接收补丁,但不会收到更新版本。 其他信息 下载附件: "OpenPGP_signature.asc" 类型为 "application/pgp-signature" (496 bytes) 邮件列表: 请查看Open Source Software Security Wiki,这是该邮件列表的对应物。 邮件列表使用: 如果对邮件列表及其使用感到困惑,请阅读Wikipedia上的邮件列表指南,并查看有关正确格式化消息的指南。