PT-2025-54838 · Red Hat · Red Hat Ansible Automation Platform+1
Elijah Delee
·
Publicado
2026-02-27
·
Atualizado
2026-02-27
·
CVE-2025-9908
CVSS v3.1
6.7
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Red Hat Ansible Automation Platform, Event-Driven Ansible (EDA) Event Streams (versões afetadas não especificadas)
Descrição
Existe uma falha no Event-Driven Ansible (EDA) Event Streams que permite a um usuário autenticado acessar cabeçalhos sensíveis da infraestrutura interna, como
X-Trusted-Proxy e X-Envoy-*, e URLs de fluxo de eventos por meio de solicitações e modelos de trabalho especialmente elaborados. Um invasor poderia potencialmente explorar essa falha exfiltrando esses cabeçalhos para falsificar solicitações confiáveis, escalar privilégios ou injetar eventos maliciosos. A vulnerabilidade envolve a manipulação de solicitações e modelos de trabalho para revelar informações internas.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
LPE
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Event-Driven Ansible (Eda) Event Streams
Red Hat Ansible Automation Platform