CVE-2019-3683 – keystone_json_assignment backend granted access to any project for users in user-project-map.json
https://notcve.org/view.php?id=CVE-2019-3683
The keystone-json-assignment package in SUSE Openstack Cloud 8 before commit d7888c75505465490250c00cc0ef4bb1af662f9f every user listed in the /etc/keystone/user-project-map.json was assigned full "member" role access to every project. This allowed these users to access, modify, create and delete arbitrary resources, contrary to expectations. El paquete keystone-json-assignment en SUSE Openstack Cloud versión 8 antes del commit d7888c75505465490250c00cc0ef4bb1af662f9f, a cada usuario listado en el archivo /etc/keystone/user-project-map.json se le fue asignado el rol completo "member" para cada proyecto. Esto permitió a estos usuarios acceder, modificar, crear y eliminar recursos arbitrarios, contrariamente a lo esperado. • https://bugzilla.suse.com/show_bug.cgi?id=1124864 https://www.suse.com/security/cve/CVE-2019-3683 • CWE-732: Incorrect Permission Assignment for Critical Resource •