PT-2026-60230 · Red Hat · Ansible Automation Platform

Chris Meyers

·

Publicado

2026-07-15

·

Atualizado

2026-07-15

·

CVE-2026-12382

CVSS v3.1

8.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Ansible Automation Platform (versões afetadas não especificadas)
Descrição Uma falha na configuração do proxy Envoy do AAP Gateway permite que um invasor remoto não autenticado ignore a autenticação mTLS. A rota não-mTLS para fluxos de eventos EDA não remove o cabeçalho HTTP Subject das requisições do cliente. Ao injetar um cabeçalho Subject falsificado que corresponda ao Nome Distinto (DN) de um certificado de cliente legítimo, um invasor pode injetar eventos arbitrários em fluxos de eventos EDA protegidos.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Authentication Bypass by Spoofing

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12382

Produtos afetados

Ansible Automation Platform