Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Ansible Automation Platform (CVE-2025-49521)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
30/06/2025
Última modificación:
03/07/2025

Descripción

Se detectó una falla en el componente EDA de Ansible Automation Platform, donde los valores de rama o refspec de Git proporcionados por el usuario se evalúan como plantillas Jinja2. Esta vulnerabilidad permite a los usuarios autenticados inyectar expresiones que ejecutan comandos o acceden a archivos confidenciales en el trabajador EDA. En OpenShift, puede provocar el robo de tokens de cuentas de servicio.