CVE-2026-32691
Timing ownership claim attack on new external back-end secrets
En resumen
Una condición de carrera en la gestión de secretos de Juju permite que un atacante autenticado se apropie de un secreto recién creado antes de su inicialización completa, exponiendo su contenido a una unidad no autorizada.
Detalle técnico
Existe una condición de carrera (CWE-708) en el subsistema de gestión de secretos de Juju 3.0.0–3.6.18, entre la generación del ID del secreto y la creación de la primera revisión. Un agente de unidad autenticado puede explotar esta ventana de tiempo para reclamar la propiedad de un secreto conocido, obteniendo acceso de lectura al contenido de la revisión inicial.
Resumen generado y traducido por IA a partir de la descripción oficial.
A race condition in the secrets management subsystem of Juju versions 3.0.0 through 3.6.18 allows an authenticated unit agent to claim ownership of a newly initialized secret. Between generating a Juju Secret ID and creating the secret's first revision, an attacker authenticated as another unit agent can claim ownership of a known secret. This leads to the attacking unit being able to read the content of the initial secret revision.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Productos afectados
Canonical · Juju¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →