PT-2026-60230 · Red Hat · Ansible Automation Platform
Chris Meyers
·
Publicado
2026-07-15
·
Atualizado
2026-07-15
·
CVE-2026-12382
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Ansible Automation Platform (versões afetadas não especificadas)
Descrição
Uma falha na configuração do proxy Envoy do AAP Gateway permite que um invasor remoto não autenticado ignore a autenticação mTLS. A rota não-mTLS para fluxos de eventos EDA não remove o cabeçalho HTTP
Subject das requisições do cliente. Ao injetar um cabeçalho Subject falsificado que corresponda ao Nome Distinto (DN) de um certificado de cliente legítimo, um invasor pode injetar eventos arbitrários em fluxos de eventos EDA protegidos.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ansible Automation Platform