Katalog CVE

CVE-2026-11820

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

W kolekcji Ansible community.general w module nexmo stwierdzono podatność polegającą na przesyłaniu danych uwierzytelniających API (api_key i api_secret) w parametrach zapytania URL metodą GET. Powoduje to ujawnienie tych danych w logach serwera WWW, logach proxy, nagłówkach HTTP Referer oraz narzędziach monitorujących sieć, mimo że parametry te są oznaczone jako no_log w specyfikacji argumentów Ansible.

Ocena ryzyka

Atakujący mający dostęp do logów lub monitoringu sieci może przechwycić pełne dane uwierzytelniające API Vonage/Nexmo i uzyskać nieautoryzowany dostęp do konta ofiary, co może prowadzić do kradzieży środków, podszywania się lub innych nadużyć.

Rekomendacja

Należy natychmiast zaktualizować kolekcję community.general do wersji, w której podatność została naprawiona, oraz zmienić dane uwierzytelniające API Vonage/Nexmo. Do czasu aktualizacji zaleca się unikanie używania modułu nexmo lub stosowanie alternatywnych metod uwierzytelniania.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the community.general Ansible collection's nexmo module. The module constructs HTTP requests to the Vonage/Nexmo SMS API by encoding API credentials (api_key and api_secret) into URL query parameters and sending them via GET requests. This causes credentials to be exposed in web server access logs, proxy logs, HTTP Referer headers, and network monitoring tools, despite the Ansible argument specification marking these parameters as no_log. An attacker with access to any of these logging or monitoring points can obtain the full API credentials and gain unauthorized access to the victim's Vonage/Nexmo account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS