从网页截图中获取到的关键漏洞信息如下: 关键信息 漏洞编号 OSSA-2025-002 标题 Unauthenticated access to EC2/S3 token endpoints can grant Keystone authorization CVSS评分 CVSS: PENDING 影响版本 Keystone: <26.0.1, ==27.0.0, ==28.0.0 描述 报告表明,通过Keystone的ec2tokens和s3tokens API使用有效的AWS签名(例如,来自预签名的S3 URL), 未认证的攻击者可能获得Keystone授权(ec2tokens可以生成一个完全映射的令牌; s3tokens可以揭示被一些服务接受的作用域),导致未经授权的访问和权限升级。部署以 或 可被未认证的客户端(例如,暴露在一个公共 API)访问受到影响。 修复补丁 (2024.2/dalmatian(keystone)) (2024.2/dalmatian(swift)) (2025.1/epoxy(keystone)) (2025.1/epoxy(swift)) (2025.2/flamingo(keystone)) (2025.2/flamingo(swift)) (2026.1/gazpacho(keystone)) (2026.1/gazpacho(swift)) 发现者 Kay (CVE PENDING) 参考链接 注意事项 尽管指示的Keystone补丁足以缓解此漏洞,对应的Swift更改被包括从而使可选的S3样式的API正常工作。MITRE CVE Request 1930434 自2025年9月24日以来一直在等待分配,但一旦完成将导致本公告的错误修订,反映正确的CVE ID。如果有其他CNA已自行分配了CVE,请拒绝它,以便我们最终不会出现重复。