Jimi-C

**Name of the Vulnerable Software and Affected Versions** Ansible versions 2.3.1.0 and 2.4.0.0 and earlier **Description** The issue is related to insufficient input validation in Ansible. An attacker could exploit this by controlling the results of `lookup()` calls, injecting Unicode strings to be parsed by the `jinja2` templating system, resulting in code execution. By default, the `jinja2` templating language is now marked as 'unsafe' and is not evaluated. **Recommendations** For Ansible versions prior to 2.3.1.0 and 2.4.0.0, update to version 2.3.1.0 or 2.4.0.0 or later to resolve the issue. As a temporary workaround, consider disabling the `jinja2` templating language until a patch is available. Restrict access to the `lookup()` function to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Ansible anteriores à 1.6.7 **Descrição** A vulnerabilidade permite que invasores remotos executem código arbitrário por meio de chamadas lookup(‘pipe’) ou dados Jinja2 maliciosamente criados, devido à falta de proteção contra dados de inventário contendo as subcadeias “{{” e ‘lookup’, e dados remotos contendo a subcadeia “{{”. **Recomendações** Para versões anteriores à 1.6.7, atualize para a versão 1.6.7 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso de chamadas lookup(‘pipe’) e dados Jinja2 manipulados para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Ansible anteriores à 1.6.7 **Descrição** A vulnerabilidade permite que invasores remotos executem código arbitrário ao aproveitar o acesso a um host gerenciado pelo Ansible e fornecer um fato (fact) manipulado. Isso pode ser feito com um fato que inclua cláusulas específicas, como uma cláusula `src=` no final, uma cláusula `temp=` no final ou uma cláusula `validate=` no final acompanhada por um comando de shell. **Recomendações** Para versões anteriores à 1.6.7, atualize para a versão 1.6.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a hosts gerenciados e validar todos os fatos para impedir a execução de código arbitrário. Evite usar fatos com cláusulas finais como `src=`, `temp=` ou `validate=` acompanhadas de comandos de shell até que o problema seja resolvido.