PT-2022-7598 · Ansible+4 · Ansible+5

Bastien-Roucaries

·

Publicado

2022-10-25

·

Atualizado

2025-08-12

·

CVE-2022-3697

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Ansible (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha no Ansible na coleção amazon.aws ao usar o parâmetro tower callback do módulo amazon.aws.ec2 instance. Essa falha permite que um invasor se aproveite do tratamento inseguro do parâmetro, levando ao vazamento da senha nos logs.
Recomendações
Como solução temporária, considere desativar o parâmetro tower callback no módulo amazon.aws.ec2 instance até que uma correção esteja disponível.
Restrinja o acesso ao módulo amazon.aws.ec2 instance para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-233

Identificadores relacionados

BDU:2024-07358
CVE-2022-3697
DLA-3695-1
DLA-3695-2
GHSA-CPX3-93W7-457X
OESA-2025-1125
ROSA-SA-2024-2334
USN-6846-1
USN-6846-2
USN-6846-3

Produtos afetados

Ansible
Ansible-Core
Astra Linux
Linuxmint
Red Os
Ubuntu