PT-2020-6580 · Unknown+3 · Ansible Engine+3

Samdoran

·

Publicado

2020-03-16

·

Atualizado

2026-06-03

·

CVE-2020-1735

CVSS v3.1

4.6

Média

VetorAV:L/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Ansible Engine, versões 2.7.x a 2.9.x
Descrição
Foi encontrada uma falha no Ansible Engine ao usar o módulo fetch, permitindo que um invasor intercepte o módulo, injete um novo caminho e escolha um novo caminho de destino no nó controlador. A vulnerabilidade está relacionada a restrições insuficientes de nomes de caminho no módulo fetch, o que poderia permitir que um invasor acessasse e comprometesse dados confidenciais.
Recomendações
Para as versões 2.7.x, 2.8.x e 2.9.x, considere desativar o módulo fetch até que um patch esteja disponível para impedir a exploração.
Restrinja o acesso ao nó controlador para minimizar o risco de um invasor escolher um novo caminho de destino.
Evite usar o módulo fetch em ambientes sensíveis até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2020-2050
ALT-PU-2020-2069
BDU:2022-00283
CVE-2020-1735
DSA-4950-1
GHSA-GFR2-QPXH-QJ9M
MGASA-2020-0217
OESA-2021-1349
OESA-2022-1950
OPENSUSE-SU-2022:0081-1
OPENSUSE-SU-2024:10615-1
OPENSUSE-SU-2024:14244-1
OPENSUSE-SU-2024:14536-1
OPENSUSE-SU-2025:15605-1
OPENSUSE-SU-2025:15753-1
OPENSUSE-SU-2026:10944-1
PYSEC-2020-7
RHSA-2020:1541
RHSA-2020:1542
RHSA-2020:1543
RHSA-2020:1544
SUSE-SU-2020:3309-1

Produtos afetados

Alt Linux
Ansible-Core
Ansible Engine
Astra Linux