Katalog CVE

CVE-2026-12726

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W AWX zidentyfikowano lukę w integracji webhooków GitHub. Kontroler przechowuje wartość statuses_url z ładunku webhooka bez weryfikacji, czy wskazuje na zaufany punkt końcowy API GitHub.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przekierowania żądań do kontrolowanego przez siebie URL, co prowadzi do wycieku skonfigurowanego tokena dostępu GitHub.

Rekomendacja

Zaleca się weryfikację URL w webhookach oraz unikanie używania osobistych tokenów dostępu GitHub w szablonach zadań, które mogą być narażone na ataki.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the AWX GitHub webhook integration. When processing GitHub pull_request webhooks, the controller stores the pull_request.statuses_url value from the webhook payload without validating that it points to a trusted GitHub API endpoint. If a job template is configured with a GitHub Personal Access Token as its webhook credential, the controller later POSTs that token to the stored callback URL when posting job status updates. An attacker who can submit a correctly signed forged webhook using the job template's webhook_key can redirect the callback to an attacker-controlled URL and exfiltrate the configured GitHub PAT.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS