PT-2024-1961 · Ansible · Ansible Automation Platform
Vipul Nair
·
Publicado
2024-02-20
·
Atualizado
2026-02-25
·
CVE-2024-1657
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Ansible Automation Platform (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha na plataforma de automação Ansible, relacionada a uma conexão WebSocket insegura usada durante a instalação a partir do servidor EDA do rulebook do Ansible. Esse problema poderia permitir que um invasor com acesso a qualquer máquina no bloco CIDR baixasse todos os dados do rulebook a partir do WebSocket, resultando na perda de confidencialidade e integridade do sistema. A vulnerabilidade também está relacionada à falta de verificação de origem nos WebSockets devido a uma restrição incorreta de canal, o que poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Cleartext Transmission of Sensitive Information
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ansible Automation Platform