Katalog CVE

CVE-2026-11332

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

W ansible-core znaleziono lukę, w której polecenie ansible-galaxy role install przetwarza specyfikacje zależności z pliku meta/requirements.yml. Z powodu nieprawidłowej neutralizacji ograniczników argumentów, złośliwy autor roli może wstrzyknąć dowolne flagi konfiguracyjne gita przez pole src, co umożliwia zdalne wykonanie kodu na maszynie użytkownika instalującego rolę.

Ocena ryzyka

Organizacja narażona jest na przejęcie kontroli nad systemem, na którym instalowane są role Ansible, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub dalszego ataku na infrastrukturę.

Rekomendacja

Należy natychmiast zaktualizować ansible-core do najnowszej wersji zawierającej poprawkę oraz unikać instalowania ról z niezaufanych źródeł do czasu wdrożenia aktualizacji.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in ansible-core. The ansible-galaxy role install command processes dependency specifications from a role's meta/requirements.yml file. Due to improper neutralization of argument delimiters, a malicious role author can inject arbitrary git configuration flags through the src field. This allows arbitrary code execution on the machine of a user who installs the role via ansible-galaxy role install.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS