摘要:
An issue was discovered in OpenStack Swift before 2.28.1, 2.29.x before 2.29.2, and 2.30.0. By supplying crafted XML files, an authenticated user may coerce the S3 API into returning arbitrary file contents from the host server, resulting in unauthorized read access to potentially sensitive data. This impacts both s3api deployments (Rocky or later), and swift3 deployments (Queens and earlier, no longer actively developed).
安全等级: Low
公告ID: KylinSec-SA-2025-2332
发布日期: 2025年4月20日
关联CVE: CVE-2022-47950
在 OpenStack Swift 2.28.1 之前版本、2.29.x 系列 2.29.2 之前版本以及 2.30.0 版本中发现了一个问题。经过身份验证的用户可通过提供精心构造的 XML 文件,迫使 S3 API 返回主机服务器上的任意文件内容,从而导致对潜在敏感数据的未授权读取访问。该漏洞同时影响 s3api 部署(Rocky 或更高版本)以及 swift3 部署(Queens 及更早版本,已停止积极开发)。
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2022-47950 | KY3.4-5A | openstack-swift | Unaffected |
| CVE-2022-47950 | V6 | openstack-swift | Unaffected |
