漏洞概述 漏洞名称: CVE-2026-44188 漏洞描述: Ansible Lightspeed 存在会话劫持和未经授权的数据访问漏洞,原因是会话过期机制不足。攻击者可以在用户注销后继续使用有效的 OAuth 访问令牌,从而访问敏感数据。 影响范围 产品: Ansible Lightspeed 组件: Security Response 优先级: medium 严重程度: medium 操作系统: Linux 硬件: All 修复方案 修复版本: 未指定 报告时间: 2026-05-05 15:13 UTC by OSIDB Bzimport 修改时间: 2026-06-15 08:11 UTC CC列表: 12 users (链接) 环境: 未指定 最后关闭时间: 未指定 embargoed: 未指定 备注 QA联系人: 未指定 文档联系人: 未指定 URL: 未指定 白名单: 未指定 依赖项: 未指定 阻塞项: 未指定 Tree/View: depends on / blocked 附件 附件链接: (Terms of Use) 描述 详细描述: 该漏洞与不充分的会话过期有关,允许远程攻击者在用户注销后维持对 Ansible Lightspeed 实例的持久访问。攻击者可以继续使用有效的 OAuth 访问令牌,因为应用程序未能使令牌在后端失效,直到其自然过期。这可能导致未经授权地访问 Ansible 资源,如清单、剧本和配置数据。 注意 登录要求: 需要登录才能在此漏洞上发表评论或进行更改。