PT-2022-10553 · Red Hat · Ansible Galaxy Collections
Publicado
2022-04-18
·
Atualizado
2022-04-27
·
CVE-2021-3681
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Ansible Galaxy Collections (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no Ansible Galaxy Collections. Quando as coleções são criadas manualmente, quaisquer arquivos no diretório do repositório que não sejam explicitamente excluídos por meio da lista
build ignore no arquivo “galaxy.yml” são incluídos no arquivo .tar.gz. Isso contém informações confidenciais, como a chave API do Ansible Galaxy do usuário e quaisquer segredos na saída detalhada do ansible ou ansible-playbook sem a supressão no log. Atualmente, não há como desativar uma coleção ou excluir uma versão da coleção. Uma vez publicada, qualquer pessoa que baixar ou instalar a coleção poderá visualizar os segredos.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ansible Galaxy Collections