PT-2024-39241 · Ansible+2 · Ansible+2

Klaas-Analyst

·

Publicado

2024-09-13

·

Atualizado

2026-06-03

·

CVE-2024-8775

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas:
Ansible (versões afetadas não especificadas)
Descrição:
Foi identificada uma falha no Ansible em que informações confidenciais armazenadas nos arquivos do Ansible Vault podem ser expostas em texto simples durante a execução de um playbook. Isso ocorre ao usar tarefas como include vars para carregar variáveis armazenadas no Vault sem definir o parâmetro no log: true, resultando na exibição de dados confidenciais na saída do playbook ou nos logs. Isso pode levar à divulgação não intencional de segredos, como senhas ou chaves de API, comprometendo a segurança e potencialmente permitindo acesso ou ações não autorizadas.
Recomendações:
Como solução temporária, considere definir o parâmetro no log: true ao usar tarefas como include vars para carregar variáveis armazenadas no vault até que um patch esteja disponível.
Restrinja o acesso à saída do playbook e aos logs para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

Insertion into Log File

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-532

Identificadores relacionados

AZL-53163
AZL-53180
BDU:2025-09010
CVE-2024-8775
DLA-3963-1
GHSA-JPXC-VMJF-9FCJ
MGASA-2025-0052
OESA-2024-2510
OESA-2024-2511
OESA-2024-2512
OESA-2024-2513
OPENSUSE-SU-2024:14498-1
OPENSUSE-SU-2024:14499-1
OPENSUSE-SU-2024:14537-1
OPENSUSE-SU-2025:15638-1
OPENSUSE-SU-2025:15754-1
OPENSUSE-SU-2026:10945-1
RHSA-2024:10762
RHSA-2024:9894
SUSE-RU-2025:0791-1

Produtos afetados

Ansible
Astra Linux
Red Os