Vulnerabilidad en Ansible (CVE-2024-9902)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/11/2024
Última modificación:
03/11/2025
Descripción
Se encontró una falla en Ansible. El módulo `user` de ansible-core puede permitir que un usuario sin privilegios cree o reemplace silenciosamente el contenido de cualquier archivo en cualquier ruta del sistema y tome posesión de él cuando un usuario privilegiado ejecuta el módulo `user` en el directorio de inicio del usuario sin privilegios. Si el usuario sin privilegios tiene permisos de navegación en el directorio que contiene el archivo de destino explotado, conserva el control total sobre el contenido del archivo como su propietario.
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:10762
- https://access.redhat.com/errata/RHSA-2024:8969
- https://access.redhat.com/errata/RHSA-2024:9894
- https://access.redhat.com/errata/RHSA-2025:1861
- https://access.redhat.com/security/cve/CVE-2024-9902
- https://bugzilla.redhat.com/show_bug.cgi?id=2318271
- https://lists.debian.org/debian-lts-announce/2024/11/msg00021.html