PT-2020-6246 · Ansible+5 · Ansible Engine+6
Abhijeet Kasurde
+1
·
Publicado
2020-01-28
·
Atualizado
2026-06-03
·
CVE-2019-14904
CVSS v4.0
8.3
Alta
| Vetor | AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:L/VA:L/SC:H/SI:L/SA:L |
Nome do software vulnerável e versões afetadas
Ansible Engine, versões 2.7.15 a 2.9.2 e todas as versões anteriores
Descrição
Foi identificada uma falha no módulo solaris zone dos módulos da Comunidade Ansible. Ao definir o nome da zona no host Solaris, o nome da zona é verificado por meio da listagem de processos com o comando ‘ps’ na máquina remota. Um invasor poderia se aproveitar dessa falha criando o nome da zona e executando comandos arbitrários no host remoto.
Recomendações
Para as versões do Ansible Engine 2.7.15 a 2.9.2 e todas as versões anteriores, considere desativar o módulo solaris zone até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao host remoto para minimizar o risco de execução de comandos arbitrários. Evite usar o comando ‘ps’ para verificações de nome de zona no módulo solaris zone até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible-Core
Ansible Engine
Astra Linux
Linuxmint
Suse
Ubuntu