关键信息 漏洞描述 漏洞编号: CVE-2024-9620 漏洞名称: Event-Driven Automation (EDA) in Ansible Automation Platform (AAP) lacks encryption 描述: 在Ansible Automation Platform (AAP)的Event-Driven Automation (EDA)中发现了一个漏洞,该漏洞缺乏对敏感信息的加密。攻击者可以通过嗅探在EDA和AAP之间传输的明文数据来利用这个漏洞。此外,攻击者还可以通过读取存储在EDA和AAP数据库中的明文数据来利用这个漏洞。 影响范围 受影响版本: 2.4及以下版本 受影响组件: EDA 受影响平台: Linux 影响程度 严重性: 中等 优先级: 中等 报告时间 报告日期: 2024年10月8日 报告者: OSIDB Bzimport 修复情况 修复状态: 未修复 修复版本: 未指定 其他信息 关键词: 安全 状态: 新 产品: 安全响应 目标里程碑: 未指定 分配给: 产品安全DevOps团队 文档类型: 文档 文档描述: 详细描述了漏洞的发现和影响。 总结 这个漏洞是由于Ansible Automation Platform (AAP)的Event-Driven Automation (EDA)组件在2.4及以下版本中缺乏对敏感信息的加密功能。攻击者可以通过网络访问或系统访问来利用这个漏洞,从而窃取敏感数据。该漏洞的严重性和优先级都为中等,但目前尚未修复。