CVE-2025-57833: Выполнение произвольного кода в Ansible Automation Platform 2.5 packages

CVE

Выполнение произвольного кода в Ansible Automation Platform 2.5 packages

Уязвимое программное обеспечение

python3.11-tox-ansible (Red Hat package):

  • до 25.8.0-1.el8ap

python3.11-termcolor (Red Hat package):

  • до 3.1.0-1.el8ap

python3.11-ruamel-yaml (Red Hat package):

  • до 0.18.15-1.el8ap

python3.11-pytest-sugar (Red Hat package):

  • до 1.1.1-1.el8ap

python3.11-pytest-plus (Red Hat package):

  • до 0.8.1-1.el8ap

python3.11-pytest-ansible (Red Hat package):

  • до 25.8.0-1.el8ap

python3.11-galaxy-ng (Red Hat package):

  • до 4.10.8-1.el8ap

python3.11-galaxy-importer (Red Hat package):

  • до 0.4.33-1.el8ap

python3.11-django-ansible-base (Red Hat package):

  • до 2.5.20250924-1.el8ap

python3.11-django (Red Hat package):

  • до 4.2.24-1.el8ap

python3.11-ansible-compat (Red Hat package):

  • до 25.8.1-1.el8ap

molecule (Red Hat package):

  • до 25.7.0-1.el8ap

automation-hub (Red Hat package):

  • до 4.10.8-1.el8ap

automation-gateway-proxy (Red Hat package):

  • до 2.6.6-3.el9ap

automation-gateway (Red Hat package):

  • до 2.5.20250924-2.el8ap

automation-controller (Red Hat package):

  • до 4.6.20-1.el8ap

ansible-sign (Red Hat package):

  • до 0.1.2-1.el8ap

ansible-navigator (Red Hat package):

  • до 25.8.0-1.el8ap

ansible-lint (Red Hat package):

  • до 25.8.2-1.el8ap

ansible-dev-tools (Red Hat package):

  • до 25.8.3-1.el8ap

ansible-dev-environment (Red Hat package):

  • до 25.8.0-1.el8ap

ansible-creator (Red Hat package):

  • до 25.8.0-1.el8ap

ansible-automation-platform-installer (Red Hat package):

  • до 2.5-18.el8ap

aap-metrics-utility (Red Hat package):

  • до 0.6.0-2.el8ap

Ansible Automation Platform:

  • до 2.5

Последствия эксплуатации

ACE: Выполнение произвольного кода

Common Vulnerability Scoring System

Рейтинг: ВЫСОКИЙ
Оценка: 7.1
Вектор: AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N
Вектор атаки: Сетевой
Сложность атаки: Высокая
Требуемые привилегии: Низкие
Границы эксплуатации: Измененный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Низкая
Влияние на Доступность: Нет

Метод эксплуатации

Отправка специально созданных запросов.
Взаимодействие с пользователем: Отсутствует

Уменьшение последствий

Данная уязвимость устраняется официальным патчем вендора.
Наличие обновления: Есть

Common Weakness Enumeration

CWE: CWE-89
Описание: Некорректная нейтрализация специальных элементов, используемых в SQL-командах (внедрение SQL-кода)

Ссылки

Комментарии: 0