PT-2020-14921 · Ansible+2 · Ansible Engine+3

Samdoran

·

Publicado

2020-03-16

·

Atualizado

2026-06-03

·

CVE-2020-1736

CVSS v4.0

4.8

Média

VetorAV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Ansible Engine, versões 2.7.x a 2.9.x
Descrição
Foi encontrada uma falha no Ansible Engine quando um arquivo é movido usando a primitiva atomic move, pois o modo do arquivo não pode ser especificado. Isso define o arquivo de destino como legível por todos se ele não existir; caso o arquivo exista, ele pode ter suas permissões alteradas para menos restritivas antes da movimentação. Isso pode levar à divulgação de dados confidenciais.
Recomendações
Para as versões 2.7.x, 2.8.x e 2.9.x, considere restringir as permissões de arquivo para minimizar o risco de divulgação de dados confidenciais até que um patch esteja disponível.
Como solução alternativa temporária, considere implementar controles de acesso adicionais a arquivos confidenciais para impedir o acesso não autorizado.

Exploit

Correção

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-732

Identificadores relacionados

ALT-PU-2020-2923
ALT-PU-2020-3006
ALT-PU-2021-1800
CVE-2020-1736
GHSA-X7JH-595Q-WQ82
OESA-2021-1349
OPENSUSE-SU-2022:0081-1
OPENSUSE-SU-2024:10615-1
OPENSUSE-SU-2024:14244-1
OPENSUSE-SU-2024:14536-1
OPENSUSE-SU-2025:15605-1
OPENSUSE-SU-2025:15753-1
OPENSUSE-SU-2026:10944-1
PYSEC-2020-8
RHSA-2020:3600
SUSE-SU-2020:3309-1

Produtos afetados

Alt Linux
Ansible-Core
Ansible Engine
Debian