CVE-2026-11807
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
W interfejsie WebSocket Event-Driven Ansible (EDA) wykryto brak autoryzacji. Endpoint /api/eda/ws/ansible-rulebook nie weryfikuje uprawnień użytkownika podczas przetwarzania wiadomości Worker. Każdy uwierzytelniony użytkownik może wysłać sfałszowaną wiadomość z dowolnym activation_id, aby uzyskać poświadczenia w postaci jawnego tekstu powiązane z tą aktywacją, w tym tokeny OAuth, hasła do vaultów i klucze SSH.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży wrażliwych poświadczeń (tokeny OAuth, hasła, klucze SSH) przez dowolnego uwierzytelnionego użytkownika, co może prowadzić do nieautoryzowanego dostępu do systemów i danych.
Rekomendacja
Należy natychmiast zaimplementować weryfikację uprawnień użytkownika dla endpointu WebSocket oraz ograniczyć dostęp do niego tylko dla zaufanych Workerów. Aktualizacja do najnowszej wersji EDA z poprawką jest zalecana.
Oryginalny opis (angielski, źródło NVD)
A missing authorization vulnerability was found in the Event-Driven Ansible (EDA) websocket API. The /api/eda/ws/ansible-rulebook endpoint does not verify user permissions when processing Worker messages. Any authenticated user can send a forged message with an arbitrary activation_id to receive plaintext credentials associated with that activation, including OAuth tokens, vault passwords, and SSH keys.

