关键信息 漏洞描述 漏洞编号: CVE-2024-11079 公开日期: 2024年11月11日 最后修改日期: 2024年11月11日 影响程度: 中等 CVSS v3 分数: 5.5 漏洞详情 描述: 在Ansible-Core中发现了一个缺陷。该漏洞允许攻击者绕过不安全的内容保护,通过hostvars对象引用并执行模板化内容。如果远程数据或模块输出在playbooks中未正确模板化,这可能导致任意代码执行。 缓解措施 避免使用hostvars对象引用标记为不安全的内容。 确保远程数据从模块或查找器中正确地被清理和验证。 限制对inventory文件和Ansible playbook的访问,仅授予信任用户,以最小化利用风险。 补充信息 Bugzilla: 2325171 - ansible-core: 不安全的标记绕过通过hostvars对象在Ansible-Core中 CWE-20: 不正确的输入验证 FAQ: 关于CVE-2024-11079的常见问题 影响的包和Red Hat安全补丁 受影响的包: - Red Hat Ansible Automation Platform 2 - Red Hat Enterprise Linux AI (RHEL AI) - Red Hat Enterprise Linux AI (RHEL AI) CVSS v3 分数详情 CVSS v3 基本分数: 5.5 攻击向量: 网络 攻击复杂性: 高 权限要求: 低 用户交互: 必需 范围: 改变 机密性影响: 低 完整性影响: 低 可用性影响: 低 常见问题 为什么Red Hat的CVSS v3分数或影响与其他供应商不同? 如果我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复? 如果我的产品被列为“无法修复”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但它不在上述列表中,它受影响吗? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 版权和更新信息 该页面由Red Hat自动生成,未进行错误或遗漏的检查。 最后修改日期: 2024年11月11日 CVE描述版权 © 2021