PT-2020-14932 · Ansible+2 · Ansible Engine+3

Samdoran

·

Publicado

2020-03-12

·

Atualizado

2026-06-03

·

CVE-2020-1738

CVSS v3.1

3.9

Baixa

VetorAV:L/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:L
Nome do software vulnerável e versões afetadas
Ansible Engine, versões 2.7.x a 2.9.x
Descrição
Foi identificada uma falha no Ansible Engine quando o módulo package ou service é utilizado e o parâmetro use não é especificado. Se uma tarefa anterior for executada por um usuário mal-intencionado, o módulo enviado pode ser selecionado pelo invasor utilizando o arquivo de fatos do Ansible.
Recomendações
Para as versões 2.7.x, 2.8.x e 2.9.x, considere especificar o parâmetro use ao usar o módulo package ou service para evitar a exploração.
Como solução temporária, restrinja o acesso ao arquivo ansible facts para minimizar o risco de exploração.
Evite usar o módulo package ou service com usuários não confiáveis até que uma correção esteja disponível.

Correção

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-88

Identificadores relacionados

ALT-PU-2020-1453
ALT-PU-2020-1490
CVE-2020-1738
GHSA-F85H-23MF-2FWH
OESA-2021-1349
OPENSUSE-SU-2022:0081-1
OPENSUSE-SU-2024:10615-1
OPENSUSE-SU-2024:14244-1
OPENSUSE-SU-2024:14536-1
OPENSUSE-SU-2025:15605-1
OPENSUSE-SU-2025:15753-1
OPENSUSE-SU-2026:10944-1
PYSEC-2020-10
SUSE-SU-2020:3309-1

Produtos afetados

Alt Linux
Ansible-Core
Ansible Engine
Debian