漏洞总结:Cyborg ARK API 项目所有权追踪缺失 漏洞概述 漏洞编号:CVE-2026-40214 标题:[OSSA-2026-011] Cyborg ARK API 缺乏项目所有权追踪,导致跨租户信息泄露和服务拒绝 严重程度:Critical (严重) 描述:Cyborg 的 Accelerator Request (ARK) API 未在任何层级强制执行项目所有权。 在 表中, 列从未被填充(始终为 NULL)。 数据库查询缺乏项目过滤。 策略检查是“自引用”的(即 装饰器比较调用者的 与自身,而非目标资源)。 后果:任何经过身份验证的非管理员用户均可: 1. 列出所有项目中的 ARKs(导致实例 UUID、主机名、PCI 地址和设备配置文件的跨租户信息泄露)。 2. 删除绑定到其他项目实例的 ARKs(导致受害者虚拟机无法重启的跨租户服务拒绝)。 3. 操纵绑定到实例的 ARK 绑定(因为它们不执行)。 其他问题: (show) 端点因缺少 方法而损坏。 Microversion 2.1 的 PATCH 端点允许 欺骗,调用者可指定任意 且无管理员角色检查。 受影响版本:自 Train (3.0.6) 以来的所有版本。 影响范围 受影响项目:Cyborg (OpenStack) 受影响分支/版本: 2024.2 (In Progress) 2025.1 (In Progress) 2025.2 (In Progress) 2026.1 (In Progress) 2026.2 (Fix Released) 安全建议:OpenStack Security Advisory (OSSA) 已发布,建议升级并应用补丁。 修复方案 核心修复: 在数据库层面填充 。 实施正确的策略检查,确保操作权限基于目标资源的所有权,而非调用者自身。 修复 端点。 在 Microversion 2.1 的 PATCH 端点中移除 欺骗能力或增加管理员角色检查。 补丁文件: 测试脚本: 相关补丁**:此修复依赖于另一个补丁 (用于填充现有 ARK 的 )。 POC/利用代码 以下代码块来自附件 ,展示了完整的利用链: 以下代码块来自附件 ,展示了 欺骗的利用: