漏洞标题
N/A
漏洞描述信息
在ansible版本2.2.0之前,ansible无法正确安全地过滤来自ansible控制器的事实变量。在控制器上能够创建特殊变量的 attacker 可以在ansible客户端上执行任意命令,因为ansible运行的用户不是root。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Ansible before version 2.2.0 fails to properly sanitize fact variables sent from the Ansible controller. An attacker with the ability to create special variables on the controller could execute arbitrary commands on Ansible clients as the user Ansible runs as.
CVSS信息
N/A
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
漏洞标题
Ansible 命令注入漏洞
漏洞描述信息
Ansible是美国Ansible公司的一款计算机系统配置管理器,它可用于发布、管理和编排计算机系统。 Ansible 2.2.0之前版本中存在命令注入漏洞。远程攻击者可利用该漏洞在Ansible客户端上执行任意命令。
CVSS信息
N/A
漏洞类别
命令注入