OSSA-2024-005：在 Neutron 网络上设置标签时绕过授权

OSSA-2024-005：在 Neutron 网络上设置标签时绕过授权¶

日期:: 2024 年 12 月 03 日
CVE:: CVE-2024-53916

影响¶

Neutron：>=23.0.0 <23.2.1，>=24.0.0 <24.0.2，>=25.0.0 <25.0.1

描述¶

Redpill Linpro AS 的 Tore Anderson 发现 Neutron 在更改网络标签时未应用适当的策略检查。未授权的租户能够更改（添加和清除）不属于该租户的网络对象的标签，并且此操作未经过适当的策略授权检查。

补丁¶

https://review.opendev.org/c/openstack/neutron/+/936849 (2023.2/bobcat)
https://review.opendev.org/c/openstack/neutron/+/936846 (2024.1/caracal)
https://review.opendev.org/c/openstack/neutron/+/936843 (2024.2/dalmatian)
https://review.opendev.org/c/openstack/neutron/+/935883 (2025.1/epoxy)

鸣谢¶

Redpill Linpro AS 的 Tore Anderson (CVE-2024-53916)

参考¶

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。