漏洞标题
恶意角色备份可能导致 Ansible Galaxy 覆盖任意文件
漏洞描述信息
在 Ansible 自动化平台中存在绝对路径遍历攻击。这个漏洞允许攻击者构建一个恶意的 Ansible 角色,并让受害者执行角色。可以使用符号链接来覆盖提取路径外的文件。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:H
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Ansible: malicious role archive can cause ansible-galaxy to overwrite arbitrary files
漏洞描述信息
An absolute path traversal attack exists in the Ansible automation platform. This flaw allows an attacker to craft a malicious Ansible role and make the victim execute the role. A symlink can be used to overwrite a file outside of the extraction path.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N
漏洞类别
绝对路径遍历
漏洞标题
ansible 安全漏洞
漏洞描述信息
Red Hat Ansible是美国红帽(Red Hat)公司的一款计算机系统配置管理器。该产品可用于发布、管理和编排计算机系统。 ansible 存在安全漏洞,该漏洞源于角色存档可能会导致 ansible-galaxy 覆盖任意文件。
CVSS信息
N/A
漏洞类别
其他