PT-2020-12287 · Ansible+1 · Ansible Engine+1

Jborean93

·

Publicado

2020-04-30

·

Atualizado

2026-06-03

·

CVE-2020-10691

CVSS v3.1

5.2

Média

VetorAV:L/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões 2.9.x do ansible-engine anteriores à 2.9.7
Descrição
Foi encontrada uma falha de traversal de arquivos no ansible-engine ao executar a instalação do ansible-galaxy collection. Ao extrair um arquivo .tar.gz da coleção, o diretório é criado sem sanitizar o nome do arquivo. Um invasor poderia se aproveitar disso para sobrescrever qualquer arquivo dentro do sistema.
Recomendações
Para as versões 2.9.x anteriores à 2.9.7, atualize para a versão 2.9.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do comando ansible-galaxy collection install até que um patch seja aplicado. Evite extrair arquivos .tar.gz de coleções de fontes não confiáveis para minimizar o risco de exploração.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2020-2341
ALT-PU-2020-3006
ALT-PU-2021-1800
CVE-2020-10691
GHSA-3C67-GC48-983W
OPENSUSE-SU-2022:0081-1
OPENSUSE-SU-2024:10615-1
OPENSUSE-SU-2024:14244-1
OPENSUSE-SU-2024:14536-1
OPENSUSE-SU-2025:15605-1
OPENSUSE-SU-2025:15753-1
OPENSUSE-SU-2026:10944-1
PYSEC-2020-2
RHSA-2020:1541
RHSA-2020:1542
SUSE-SU-2020:3309-1

Produtos afetados

Alt Linux
Ansible Engine