Выполнение произвольного кода в Ansible Automation Platform 2.5 packages
Уязвимое программное обеспечение
python3.11-tox-ansible (Red Hat package):
- до 25.8.0-1.el8ap
python3.11-termcolor (Red Hat package):
- до 3.1.0-1.el8ap
python3.11-ruamel-yaml (Red Hat package):
- до 0.18.15-1.el8ap
python3.11-pytest-sugar (Red Hat package):
- до 1.1.1-1.el8ap
python3.11-pytest-plus (Red Hat package):
- до 0.8.1-1.el8ap
python3.11-pytest-ansible (Red Hat package):
- до 25.8.0-1.el8ap
python3.11-galaxy-ng (Red Hat package):
- до 4.10.8-1.el8ap
python3.11-galaxy-importer (Red Hat package):
- до 0.4.33-1.el8ap
python3.11-django-ansible-base (Red Hat package):
- до 2.5.20250924-1.el8ap
python3.11-django (Red Hat package):
- до 4.2.24-1.el8ap
python3.11-ansible-compat (Red Hat package):
- до 25.8.1-1.el8ap
molecule (Red Hat package):
- до 25.7.0-1.el8ap
automation-hub (Red Hat package):
- до 4.10.8-1.el8ap
automation-gateway-proxy (Red Hat package):
- до 2.6.6-3.el9ap
automation-gateway (Red Hat package):
- до 2.5.20250924-2.el8ap
automation-controller (Red Hat package):
- до 4.6.20-1.el8ap
ansible-sign (Red Hat package):
- до 0.1.2-1.el8ap
ansible-navigator (Red Hat package):
- до 25.8.0-1.el8ap
ansible-lint (Red Hat package):
- до 25.8.2-1.el8ap
ansible-dev-tools (Red Hat package):
- до 25.8.3-1.el8ap
ansible-dev-environment (Red Hat package):
- до 25.8.0-1.el8ap
ansible-creator (Red Hat package):
- до 25.8.0-1.el8ap
ansible-automation-platform-installer (Red Hat package):
- до 2.5-18.el8ap
aap-metrics-utility (Red Hat package):
- до 0.6.0-2.el8ap
Ansible Automation Platform:
- до 2.5
Последствия эксплуатации
ACE: Выполнение произвольного кода
Common Vulnerability Scoring System
Рейтинг: ВЫСОКИЙ
Оценка: 7.1
Вектор: AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N
Вектор атаки: Сетевой
Сложность атаки: Высокая
Требуемые привилегии: Низкие
Границы эксплуатации: Измененный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Низкая
Влияние на Доступность: Нет
Метод эксплуатации
Отправка специально созданных запросов.
Взаимодействие с пользователем: Отсутствует
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: CWE-89
Описание: Некорректная нейтрализация специальных элементов, используемых в SQL-командах (внедрение SQL-кода)