Nicolas Surbayrole

**Nome do software vulnerável e versões afetadas** Ansible Engine, versões 2.7.x a 2.7.17 Ansible Engine, versões 2.8.x a 2.8.9 Ansible Engine, versões 2.9.x a 2.9.6 **Descrição** Foi encontrada uma falha no Ansible Engine ao usar `ansible facts` como uma subchave de si mesmo e promovê-la a uma variável quando o `inject` está habilitado, sobrescrevendo o `ansible facts` após a limpeza. Um invasor poderia se aproveitar disso alterando o `ansible facts`, como `ansible hosts`, `users` e quaisquer outros dados-chave, o que levaria à escalada de privilégios ou à injeção de código. **Recomendações** Para as versões 2.7.x a 2.7.17 do Ansible Engine, atualize para a versão 2.7.17 ou posterior. Para as versões 2.8.x a 2.8.9 do Ansible Engine, atualize para a versão 2.8.9 ou posterior. Para as versões 2.9.x a 2.9.6 do Ansible Engine, atualize para a versão 2.9.6 ou posterior. Como solução alternativa temporária, considere desativar o uso de `ansible facts` como uma subchave de si mesmo quando a injeção estiver habilitada, a fim de minimizar o risco de exploração.