PT-2020-5090 · Red Hat+2 · Ansible+2

Samdoran

·

Publicado

2020-03-09

·

Atualizado

2026-06-03

·

CVE-2020-1737

CVSS v4.0

8.5

Alta

VetorAV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões 2.7.17 e anteriores do Ansible
Versões 2.8.9 e anteriores do Ansible
Versões 2.9.6 e anteriores do Ansible
Descrição
Foi identificada uma falha no Ansible ao utilizar a função Extract-Zip do módulo win unzip. Os arquivos extraídos não são verificados para determinar se pertencem à pasta de destino, permitindo que um invasor crie um arquivo em qualquer local do sistema de arquivos usando um traversal de caminho. Esse problema pode afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas.
Recomendações
Para as versões 2.7.17 e anteriores do Ansible, atualize para a versão 2.10 ou posterior.
Para as versões 2.8.9 e anteriores do Ansible, atualize para a versão 2.10 ou posterior.
Para as versões 2.9.6 e anteriores do Ansible, atualize para a versão 2.10 ou posterior.
Como solução alternativa temporária, considere restringir o uso do módulo win unzip até que um patch esteja disponível.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2020-1453
ALT-PU-2020-1490
ALT-PU-2020-2050
ALT-PU-2020-2069
BDU:2020-05681
CVE-2020-1737
GHSA-893H-35V4-MXQX
MGASA-2020-0217
OESA-2021-1349
OESA-2022-1950
OPENSUSE-SU-2022:0081-1
OPENSUSE-SU-2024:10615-1
OPENSUSE-SU-2024:14244-1
OPENSUSE-SU-2024:14536-1
OPENSUSE-SU-2025:15605-1
OPENSUSE-SU-2025:15753-1
OPENSUSE-SU-2026:10944-1
PYSEC-2020-9
RHSA-2020:1541
RHSA-2020:1542
RHSA-2020:1543
RHSA-2020:1544
SUSE-SU-2020:3309-1

Produtos afetados

Alt Linux
Ansible
Astra Linux