CVE-2026-52902
ŚrednieCVSS 4.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
W awxkit, narzędziu CLI dla AWX, odkryto podatność na przejście ścieżki. Dyrektywa YAML !include nie sanitizuje ścieżek plików, co pozwala atakującemu na stworzenie złośliwego pliku YAML, który może odczytać dowolne pliki w formacie YAML z lokalnego systemu plików podczas importu przez użytkownika.
Ocena ryzyka
Podatność ta stwarza ryzyko, że złośliwy plik YAML może zostać zaimportowany przez użytkownika, co prowadzi do nieautoryzowanego dostępu do danych na lokalnym systemie plików.
Rekomendacja
Zaleca się, aby użytkownicy unikali importowania plików YAML z nieznanych źródeł oraz aby zaktualizowali awxkit do najnowszej wersji, która naprawia tę podatność.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability was found in awxkit, the CLI tool for AWX. The YAML !include directive does not sanitize file paths, allowing an attacker to craft a malicious YAML file that reads arbitrary YAML-formatted files from the local filesystem when a user imports it using "awx --conf.format yaml import". This is a client-side vulnerability requiring user interaction.

