Vulnerabilidad en el parámetro "use" en el paquete o servicio del módulo en Ansible Engine (CVE-2020-1738)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/03/2020
Última modificación:
07/11/2023
Descripción
Se detectó un fallo en Ansible Engine, cuando el paquete o servicio del módulo es usado y el parámetro "use" no es especificado. Si una tarea anterior es ejecutada con un usuario malicioso, el módulo enviado puede ser seleccionado por parte del atacante usando el archivo de datos de ansible. Se cree que todas las versiones en las derivaciones 2.7.x, 2.8.x y 2.9.x son vulnerables.
Impacto
Puntuación base 3.x
3.90
Gravedad 3.x
BAJA
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* | 2.7.16 (incluyendo) | |
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 2.8.8 (incluyendo) |
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* | 2.9.0 (incluyendo) | 2.9.5 (incluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.3.4 (incluyendo) | |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.3.5 (incluyendo) | 3.4.5 (incluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.5 (incluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.3 (incluyendo) |
cpe:2.3:a:redhat:cloudforms_management_engine:5.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:redhat:openstack:13:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página