PT-2020-6675 · Red Hat+2 · Ansible Engine+2
Publicado
2020-01-28
·
Atualizado
2026-06-03
·
CVE-2019-14905
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Ansible Engine versões 2.9.x anteriores à 2.9.3
Ansible Engine versões 2.8.x anteriores à 2.8.8
Ansible Engine versões 2.7.x anteriores à 2.7.16 e anteriores
Descrição
O problema está relacionado ao módulo nxos file copy no Ansible, que pode ser usado para copiar arquivos para um flash ou bootflash em dispositivos NXOS. Um código malicioso poderia manipular o parâmetro
filename para realizar injeções de comandos no sistema operacional, resultando potencialmente em perda de confidencialidade do sistema, entre outros problemas.Recomendações
Para as versões 2.9.x do Ansible Engine anteriores à 2.9.3, atualize para a versão 2.9.3 ou posterior.
Para as versões 2.8.x do Ansible Engine anteriores à 2.8.8, atualize para a versão 2.8.8 ou posterior.
Para versões do Ansible Engine 2.7.x anteriores à 2.7.16 e anteriores, atualize para a versão 2.7.16 ou posterior.
Como solução alternativa temporária, considere restringir o uso do módulo
nxos file copy até que um patch esteja disponível.Evite usar o parâmetro
filename no módulo afetado para minimizar o risco de exploração.Correção
RCE
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible Engine
Suse