PT-2022-11235 · Unknown · Ansible-Runner
Vipul Nair
·
Publicado
2022-08-24
·
Atualizado
2022-08-29
·
CVE-2021-4041
CVSS v4.0
8.5
Alta
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
ansible-runner (versões afetadas não especificadas)
Descrição
Foi identificada uma falha no ansible-runner, na qual um escapamento inadequado do comando do shell, ao chamar o método
ansible runner.interface.run command, pode fazer com que os parâmetros sejam executados como um comando do shell do host. Isso poderia permitir que um desenvolvedor escrevesse, sem intenção, código que fosse executado no host em vez de no ambiente virtual.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Encoding or Escaping of Output
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ansible-Runner