Jborean93

**Nome do software vulnerável e versões afetadas** Versões do Ansible Engine anteriores à 2.10.6rc1 Versões do Ansible Engine anteriores à 2.9.18rc1 Versões do Ansible Engine anteriores à 2.8.19rc1 **Descrição** Foi encontrada uma falha no Ansible Engine, na qual informações confidenciais não são mascaradas por padrão e não são protegidas pelo recurso `no log` ao usar o recurso de subopção do módulo basic.py. Isso permite que um invasor obtenha informações confidenciais, sendo a maior ameaça à confidencialidade. **Recomendações** Para versões do Ansible Engine anteriores à 2.10.6rc1, atualize para a versão 2.10.6rc1 ou posterior. Para versões do Ansible Engine anteriores à 2.9.18rc1, atualize para a versão 2.9.18rc1 ou posterior. Para versões do Ansible Engine anteriores à 2.8.19rc1, atualize para a versão 2.8.19rc1 ou posterior. Como solução alternativa temporária, considere desativar o recurso de subopções do módulo basic.py até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 2.9.x do ansible-engine anteriores à 2.9.7 **Descrição** Foi encontrada uma falha de traversal de arquivos no ansible-engine ao executar a instalação do `ansible-galaxy collection`. Ao extrair um arquivo .tar.gz da coleção, o diretório é criado sem sanitizar o nome do arquivo. Um invasor poderia se aproveitar disso para sobrescrever qualquer arquivo dentro do sistema. **Recomendações** Para as versões 2.9.x anteriores à 2.9.7, atualize para a versão 2.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do comando `ansible-galaxy collection` install até que um patch seja aplicado. Evite extrair arquivos .tar.gz de coleções de fontes não confiáveis para minimizar o risco de exploração.