漏洞概述 漏洞编号:Bug 2489180 (CVE-2026-12398) 漏洞类型:命令注入漏洞 描述:在 的旧角色导入功能中发现了一个命令注入漏洞。 函数在 中通过 f-string 插值构建 shell 命令,使用未 sanitization 的 git 引用名称(分支/标签名称从 参数)并使用 执行它们。经过身份验证的用户,如果控制一个 git 仓库,可以在名称中创建带有 shell 元字符(如 , , , )的分支或标签,并在旧角色导入处理该引用时,shell 元字符会被 shell 解释,从而实现远程代码执行。 影响范围 受影响产品:Red Hat Bugzilla - Bug 2489180 操作系统:Linux 优先级:中等 严重程度:中等 目标里程碑:未指定 分配给:Product Security QA 联系人:未指定 文档联系人:未指定 URL:未指定 白名单:未指定 依赖项:未指定 阻塞项:未指定 TreeView:取决于 / 已阻塞 修复方案 修复版本:未指定 克隆自:未指定 环境:未指定 最后关闭:未指定 冻结:未指定 CC 列表:11 用户(详情) 详细描述 报告时间:2026-06-16 13:32 UTC by OSIDB Bzimport 修改时间:2026-06-16 14:50 UTC 关键词:Security 状态:NEW 别名:CVE-2026-12398 组件:vulnerability 版本:未指定 硬件:所有 OS:Linux 优先级:中等 严重程度:中等 目标里程碑:未指定 分配给:Product Security QA 联系人:未指定 文档联系人:未指定 URL:未指定 白名单:未指定 依赖项:未指定 阻塞项:未指定 TreeView:取决于 / 已阻塞 漏洞细节 漏洞要求: 必须设置为 ,这在任何已发布的 Red Hat Ansible Automation Platform (2.4 到 2.6) 中不是默认配置。当此设置默认为 时,v1 API 路由未注册在 Django URL 路由中,易受攻击的端点返回 404。然而,任何明确启用旧角色支持的部署(例如, 或自定义配置)都会暴露给经过身份验证的 RCE。 次要向量:通过 参数存在,该参数接受任意 URL 而无需验证(启用 SSRF),尽管该路径上的 git clone 操作使用 ,防止通过该特定参数进行 shell 注入。 代码块 备注 备注:您需要登录才能在此处发表评论或进行更改。 附件 附件:无 其他信息 报告者:OSIDB Bzimport 报告时间:2026-06-16 13:32 UTC 修改时间:2026-06-16 14:50 UTC CC 列表:11 用户(详情) 总结 该漏洞涉及 的旧角色导入功能中的命令注入问题,可能导致远程代码执行。修复方案尚未明确,但建议确保 设置为 以避免潜在风险。