漏洞概述 漏洞编号:CVE-2026-52902 漏洞类型:路径遍历漏洞 描述:在 的 YAML 包含指令中发现了一个路径遍历漏洞。 函数在构建文件路径时使用了未经过路径检查的用户可控输入,导致攻击者可以通过导入恶意的 YAML 文件来读取用户文件系统中的任意文件。 影响范围 产品:Security Response 组件:vulnerability 版本:未指定 硬件:所有 操作系统:Linux 优先级:中等 严重程度:中等 目标里程碑:无 分配给:产品安全 DevOps 团队 修复方案 修复状态:未修复 修复版本:未指定 关闭列表:无 环境:未指定 最后关闭:未指定 被屏蔽:未指定 附加信息 上游链接:https://github.com/ansible/awx/tree/devel/awxkit 受影响文件: 限制攻击因素 客户端侧: 是一个 CLI 工具 需要用户下载并执行恶意 YAML 文件 仅 YAML 格式文件可被读取(非纯文本/二进制) JSON 是默认的导入格式;仅 受影响 API 字段验证限制数据泄露 POC 代码 备注 需要登录才能评论或对此漏洞进行修改。