PT-2020-7689 · Ansible+1 · Ansible+2
Jimi-C
·
Publicado
2014-07-26
·
Atualizado
2026-06-03
·
CVE-2014-4967
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Ansible anteriores à 1.6.7
Descrição
A vulnerabilidade permite que invasores remotos executem código arbitrário ao aproveitar o acesso a um host gerenciado pelo Ansible e fornecer um fato (fact) manipulado. Isso pode ser feito com um fato que inclua cláusulas específicas, como uma cláusula
src= no final, uma cláusula temp= no final ou uma cláusula validate= no final acompanhada por um comando de shell.Recomendações
Para versões anteriores à 1.6.7, atualize para a versão 1.6.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a hosts gerenciados e validar todos os fatos para impedir a execução de código arbitrário. Evite usar fatos com cláusulas finais como
src=, temp= ou validate= acompanhadas de comandos de shell até que o problema seja resolvido.Correção
RCE
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible
Ansible-Core