PT-2020-7685 · Ansible+1 · Ansible+2

Florian Weimer

·

Publicado

2014-07-26

·

Atualizado

2022-05-24

·

CVE-2014-4678

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Ansible anteriores à 1.6.4
Descrição
O problema está relacionado à função safe eval, que não restringe adequadamente o subconjunto de código. Isso permite que invasores remotos executem código arbitrário por meio de instruções maliciosas.
Recomendações
Para versões anteriores à 1.6.4, atualize para a versão 1.6.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função safe eval até que um patch esteja disponível.

Correção

RCE

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

ALT-PU-2014-1957
CVE-2014-4678
GHSA-66C7-5PWV-MM3J
MGASA-2014-0350
PYSEC-2020-203

Produtos afetados

Alt Linux
Ansible
Ansible-Core