Описание
Уязвимость интерфейса системы управления конфигурациями Ansible Semaphore связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Ansible Semaphore
Версия ПО
2.8.90 (Ansible Semaphore)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- отключение/блокировка функции Extra Variables, если это возможно (доступ к функции можно получить по адресу https://<semaphore-endpoint>/project/id/environment или с помощью флага --extra-vars);
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- мониторинг действий пользователей.
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 81%
0.0159
Низкий
8.8 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.8
nvd
больше 2 лет назад
An issue in ansible semaphore v.2.8.90 allows a remote attacker to execute arbitrary code via a crafted payload to the extra variables parameter.
EPSS
Процентиль: 81%
0.0159
Низкий
8.8 High
CVSS3
9 Critical
CVSS2