Red Hat CloudForms is vulnerable to remote code execution. This is because the dialog for creating cloud volumes (cinder provider) in CloudForms does not filter cloud tenants by user. An attacker with the ability to create storage volumes could use this to create storage volumes for any other tenant.
access.redhat.com/errata/RHSA-2017:0898
access.redhat.com/errata/RHSA-2017:1601
access.redhat.com/errata/RHSA-2017:1758
access.redhat.com/security/cve/CVE-2017-7497
access.redhat.com/security/updates/classification/#important
bugzilla.redhat.com/show_bug.cgi?id=1322396
bugzilla.redhat.com/show_bug.cgi?id=1350340
bugzilla.redhat.com/show_bug.cgi?id=1402992
bugzilla.redhat.com/show_bug.cgi?id=1403358
bugzilla.redhat.com/show_bug.cgi?id=1414869
bugzilla.redhat.com/show_bug.cgi?id=1419604
bugzilla.redhat.com/show_bug.cgi?id=1428944
bugzilla.redhat.com/show_bug.cgi?id=1430468
bugzilla.redhat.com/show_bug.cgi?id=1434152
bugzilla.redhat.com/show_bug.cgi?id=1434952
bugzilla.redhat.com/show_bug.cgi?id=1436074
bugzilla.redhat.com/show_bug.cgi?id=1436222
bugzilla.redhat.com/show_bug.cgi?id=1436226
bugzilla.redhat.com/show_bug.cgi?id=1436228
bugzilla.redhat.com/show_bug.cgi?id=1436232
bugzilla.redhat.com/show_bug.cgi?id=1436233
bugzilla.redhat.com/show_bug.cgi?id=1436236
bugzilla.redhat.com/show_bug.cgi?id=1436237
bugzilla.redhat.com/show_bug.cgi?id=1436756
bugzilla.redhat.com/show_bug.cgi?id=1437146
bugzilla.redhat.com/show_bug.cgi?id=1437148
bugzilla.redhat.com/show_bug.cgi?id=1437595
bugzilla.redhat.com/show_bug.cgi?id=1437909
bugzilla.redhat.com/show_bug.cgi?id=1437912
bugzilla.redhat.com/show_bug.cgi?id=1437925
bugzilla.redhat.com/show_bug.cgi?id=1438094
bugzilla.redhat.com/show_bug.cgi?id=1438866
bugzilla.redhat.com/show_bug.cgi?id=1439291
bugzilla.redhat.com/show_bug.cgi?id=1439314
bugzilla.redhat.com/show_bug.cgi?id=1439319
bugzilla.redhat.com/show_bug.cgi?id=1439789
bugzilla.redhat.com/show_bug.cgi?id=1439945
bugzilla.redhat.com/show_bug.cgi?id=1440399
bugzilla.redhat.com/show_bug.cgi?id=1440400
bugzilla.redhat.com/show_bug.cgi?id=1440401
bugzilla.redhat.com/show_bug.cgi?id=1440402
bugzilla.redhat.com/show_bug.cgi?id=1440701
bugzilla.redhat.com/show_bug.cgi?id=1441199
bugzilla.redhat.com/show_bug.cgi?id=1441202
bugzilla.redhat.com/show_bug.cgi?id=1441204
bugzilla.redhat.com/show_bug.cgi?id=1441251
bugzilla.redhat.com/show_bug.cgi?id=1441272
bugzilla.redhat.com/show_bug.cgi?id=1441293
bugzilla.redhat.com/show_bug.cgi?id=1441331
bugzilla.redhat.com/show_bug.cgi?id=1441401
bugzilla.redhat.com/show_bug.cgi?id=1441648
bugzilla.redhat.com/show_bug.cgi?id=1441727
bugzilla.redhat.com/show_bug.cgi?id=1441742
bugzilla.redhat.com/show_bug.cgi?id=1441752
bugzilla.redhat.com/show_bug.cgi?id=1441754
bugzilla.redhat.com/show_bug.cgi?id=1441855
bugzilla.redhat.com/show_bug.cgi?id=1442105
bugzilla.redhat.com/show_bug.cgi?id=1442156
bugzilla.redhat.com/show_bug.cgi?id=1442164
bugzilla.redhat.com/show_bug.cgi?id=1442169
bugzilla.redhat.com/show_bug.cgi?id=1442177
bugzilla.redhat.com/show_bug.cgi?id=1442764
bugzilla.redhat.com/show_bug.cgi?id=1442769
bugzilla.redhat.com/show_bug.cgi?id=1442774
bugzilla.redhat.com/show_bug.cgi?id=1442865
bugzilla.redhat.com/show_bug.cgi?id=1442877
bugzilla.redhat.com/show_bug.cgi?id=1443246
bugzilla.redhat.com/show_bug.cgi?id=1443248
bugzilla.redhat.com/show_bug.cgi?id=1443563
bugzilla.redhat.com/show_bug.cgi?id=1443572
bugzilla.redhat.com/show_bug.cgi?id=1443580
bugzilla.redhat.com/show_bug.cgi?id=1443697
bugzilla.redhat.com/show_bug.cgi?id=1443799
bugzilla.redhat.com/show_bug.cgi?id=1444037
bugzilla.redhat.com/show_bug.cgi?id=1444041
bugzilla.redhat.com/show_bug.cgi?id=1444052
bugzilla.redhat.com/show_bug.cgi?id=1444062
bugzilla.redhat.com/show_bug.cgi?id=1444178
bugzilla.redhat.com/show_bug.cgi?id=1444182
bugzilla.redhat.com/show_bug.cgi?id=1444214
bugzilla.redhat.com/show_bug.cgi?id=1444220
bugzilla.redhat.com/show_bug.cgi?id=1444486
bugzilla.redhat.com/show_bug.cgi?id=1444494
bugzilla.redhat.com/show_bug.cgi?id=1444875
bugzilla.redhat.com/show_bug.cgi?id=1445318
bugzilla.redhat.com/show_bug.cgi?id=1445356
bugzilla.redhat.com/show_bug.cgi?id=1445383
bugzilla.redhat.com/show_bug.cgi?id=1445806
bugzilla.redhat.com/show_bug.cgi?id=1445901
bugzilla.redhat.com/show_bug.cgi?id=1445902
bugzilla.redhat.com/show_bug.cgi?id=1446305
bugzilla.redhat.com/show_bug.cgi?id=1446773
bugzilla.redhat.com/show_bug.cgi?id=1446787
bugzilla.redhat.com/show_bug.cgi?id=1446791
bugzilla.redhat.com/show_bug.cgi?id=1447091
bugzilla.redhat.com/show_bug.cgi?id=1448046
bugzilla.redhat.com/show_bug.cgi?id=1448073
bugzilla.redhat.com/show_bug.cgi?id=1448140
bugzilla.redhat.com/show_bug.cgi?id=1448142
bugzilla.redhat.com/show_bug.cgi?id=1448148
bugzilla.redhat.com/show_bug.cgi?id=1448418
bugzilla.redhat.com/show_bug.cgi?id=1448421
bugzilla.redhat.com/show_bug.cgi?id=1448530
bugzilla.redhat.com/show_bug.cgi?id=1448538
bugzilla.redhat.com/show_bug.cgi?id=1448870
bugzilla.redhat.com/show_bug.cgi?id=1448872
bugzilla.redhat.com/show_bug.cgi?id=1449389
bugzilla.redhat.com/show_bug.cgi?id=1449392
bugzilla.redhat.com/show_bug.cgi?id=1449394
bugzilla.redhat.com/show_bug.cgi?id=1449396
bugzilla.redhat.com/show_bug.cgi?id=1449397
bugzilla.redhat.com/show_bug.cgi?id=1449398
bugzilla.redhat.com/show_bug.cgi?id=1449403
bugzilla.redhat.com/show_bug.cgi?id=1449753
bugzilla.redhat.com/show_bug.cgi?id=1450084
bugzilla.redhat.com/show_bug.cgi?id=1450086
bugzilla.redhat.com/show_bug.cgi?id=1450088
bugzilla.redhat.com/show_bug.cgi?id=1450150
bugzilla.redhat.com/show_bug.cgi?id=1450217
bugzilla.redhat.com/show_bug.cgi?id=1450421
bugzilla.redhat.com/show_bug.cgi?id=1450508
bugzilla.redhat.com/show_bug.cgi?id=1450511
bugzilla.redhat.com/show_bug.cgi?id=1450512
bugzilla.redhat.com/show_bug.cgi?id=1450514
bugzilla.redhat.com/show_bug.cgi?id=1450519
bugzilla.redhat.com/show_bug.cgi?id=1450525
bugzilla.redhat.com/show_bug.cgi?id=1450526
bugzilla.redhat.com/show_bug.cgi?id=1451396
bugzilla.redhat.com/show_bug.cgi?id=1451827
bugzilla.redhat.com/show_bug.cgi?id=1452172
bugzilla.redhat.com/show_bug.cgi?id=1452227
bugzilla.redhat.com/show_bug.cgi?id=1452350
bugzilla.redhat.com/show_bug.cgi?id=1452363
bugzilla.redhat.com/show_bug.cgi?id=1452383
bugzilla.redhat.com/show_bug.cgi?id=1452764
bugzilla.redhat.com/show_bug.cgi?id=1452824
bugzilla.redhat.com/show_bug.cgi?id=1454383
bugzilla.redhat.com/show_bug.cgi?id=1454442
bugzilla.redhat.com/show_bug.cgi?id=1454443
bugzilla.redhat.com/show_bug.cgi?id=1454446
bugzilla.redhat.com/show_bug.cgi?id=1454618
bugzilla.redhat.com/show_bug.cgi?id=1455302
bugzilla.redhat.com/show_bug.cgi?id=1455600
bugzilla.redhat.com/show_bug.cgi?id=1455670
bugzilla.redhat.com/show_bug.cgi?id=1455686
bugzilla.redhat.com/show_bug.cgi?id=1455933
bugzilla.redhat.com/show_bug.cgi?id=1456021
bugzilla.redhat.com/show_bug.cgi?id=1457911
bugzilla.redhat.com/show_bug.cgi?id=1457924
bugzilla.redhat.com/show_bug.cgi?id=1458810
bugzilla.redhat.com/show_bug.cgi?id=1458811
bugzilla.redhat.com/show_bug.cgi?id=1459180
bugzilla.redhat.com/show_bug.cgi?id=1459307
bugzilla.redhat.com/show_bug.cgi?id=1459319
bugzilla.redhat.com/show_bug.cgi?id=1459563
bugzilla.redhat.com/show_bug.cgi?id=1460979
bugzilla.redhat.com/show_bug.cgi?id=1461170
bugzilla.redhat.com/show_bug.cgi?id=1461540
bugzilla.redhat.com/show_bug.cgi?id=1461886
bugzilla.redhat.com/show_bug.cgi?id=1463669
bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7497