CVE-2026-32691
Timing ownership claim attack on new external back-end secrets
Em resumo
Uma falha de condição de corrida no gerenciamento de segredos do Juju permite que um atacante autenticado roubar a propriedade de um segredo recém-criado antes da inicialização completa, expondo seu conteúdo a uma unidade não autorizada.
Detalhe técnico
Existe uma condição de corrida (CWE-708) no subsistema de gerenciamento de segredos do Juju 3.0.0–3.6.18, entre a geração do ID do segredo e a criação da primeira revisão. Um agente de unidade autenticado pode explorar essa janela de tempo para reivindicar propriedade de um segredo conhecido, ganhando acesso de leitura ao conteúdo da revisão inicial.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A race condition in the secrets management subsystem of Juju versions 3.0.0 through 3.6.18 allows an authenticated unit agent to claim ownership of a newly initialized secret. Between generating a Juju Secret ID and creating the secret's first revision, an attacker authenticated as another unit agent can claim ownership of a known secret. This leads to the attacking unit being able to read the content of the initial secret revision.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Canonical · JujuQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →