CVE-2026-11332
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
W ansible-core znaleziono lukę, w której polecenie ansible-galaxy role install przetwarza specyfikacje zależności z pliku meta/requirements.yml. Z powodu nieprawidłowej neutralizacji ograniczników argumentów, złośliwy autor roli może wstrzyknąć dowolne flagi konfiguracyjne gita przez pole src, co umożliwia zdalne wykonanie kodu na maszynie użytkownika instalującego rolę.
Ocena ryzyka
Organizacja narażona jest na przejęcie kontroli nad systemem, na którym instalowane są role Ansible, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ataku na infrastrukturę.
Rekomendacja
Należy natychmiast zaktualizować ansible-core do najnowszej wersji zawierającej poprawkę oraz unikać instalowania ról z niezaufanych źródeł do czasu wdrożenia aktualizacji.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in ansible-core. The ansible-galaxy role install command processes dependency specifications from a role's meta/requirements.yml file. Due to improper neutralization of argument delimiters, a malicious role author can inject arbitrary git configuration flags through the src field. This allows arbitrary code execution on the machine of a user who installs the role via ansible-galaxy role install.

