PT-2022-10609 · Unknown · Ansible-Runner
Abadger
·
Publicado
2022-08-23
·
Atualizado
2023-02-17
·
CVE-2021-3701
CVSS v4.0
6.8
Média
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
ansible-runner versão 2.0.0
Descrição
Foi identificada uma falha no ansible-runner em que a configuração padrão dos arquivos temporários é gravada em locais com permissão de leitura e gravação (R/W) para todos. Essa falha permite que um invasor crie previamente o diretório, resultando na leitura de informações privadas ou forçando o ansible-runner a gravar arquivos como usuário legítimo em um local inesperado. A maior ameaça dessa vulnerabilidade é à confidencialidade e à integridade.
Recomendações
Para a versão 2.0.0, considere alterar a configuração padrão dos arquivos temporários para um local seguro, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso de gravação ao diretório de arquivos temporários para minimizar o risco de exploração.
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ansible-Runner