漏洞概述 漏洞编号:CVE-2026-12726 漏洞类型:SSRF(服务器端请求伪造) 漏洞描述:在AWX的GitHub webhook集成中,当接收到GitHub pull_request webhook时, 函数返回未经验证的 。该值存储在job extra变量中,并在 中的 方法中被用作回调URL,用于POST请求job状态更新。如果job模板配置了 和GitHub Personal Access Token(PAT)作为 ,控制器会在job完成时向存储的回调URL发送包含该token的Authorization header。尽管控制器旨在将提交状态更新回GitHub,但它不限制回调URL到受信任的GitHub API端点。攻击者可以提交带有有效HMAC-SHA1签名的伪造webhook请求,为target job模板的webhook key提供攻击者控制的 ,导致在触发job完成时泄露配置的GitHub PAT。正常的GitHub webhook交付不允许任意控制 ,因此需要知道per-template webhook共享密钥或特权访问才能从控制器中检索它。 影响范围 受影响产品:Red Hat Bugzilla - Bug 2490796 组件:Security Response 严重程度:medium 优先级:medium 操作系统:Linux 硬件:All 版本:unspecified 修复方案 修复状态:Closed 最后关闭时间:2026-06-19 18:43 UTC CC列表:9 users (rhbz) POC代码 其他信息 报告时间:2026-06-19 15:10 UTC by OSIDB bzreport 修改时间:2026-06-19 18:43 UTC (History) 环境:Environment: 依赖项:Depends on / Blocked 附件:(Terms of Use) 备注 需要登录才能评论或对此bug进行更改。