Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12356

Опубликовано: 17 сент. 2024
Источник: fstec
CVSS3: 6.3
CVSS2: 5.7
EPSS Низкий

Описание

Уязвимость модуля user систем управления конфигурациями Ansible Core и Ansible связана с неправильной авторизацией. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Red Hat Inc.

Наименование ПО

Astra Linux Special Edition
Ansible

Версия ПО

1.8 (Astra Linux Special Edition)
до 2.14.18 (Ansible)
до 2.18.0 (Ansible)
от 2.15.0 до 2.15.13 (Ansible)
от 2.16.0 до 2.16.13 (Ansible)
от 2.17.0 до 2.17.6 (Ansible)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ansible:
https://github.com/ansible/ansible/issues/83955
Для ОС Astra Linux:
обновить пакет ansible-core до 2.18.3-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00067
Низкий

6.3 Medium

CVSS3

5.7 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-9902

CVSS3: 6.3
ubuntu
около 1 года назад

A flaw was found in Ansible. The ansible-core `user` module can allow an unprivileged user to silently create or replace the contents of any file on any system path and take ownership of it when a privileged user executes the `user` module against the unprivileged user's home directory. If the unprivileged user has traversal permissions on the directory containing the exploited target file, they retain full control over the contents of the file as its owner.

redhat логотип

CVE-2024-9902

CVSS3: 6.3
redhat
около 1 года назад

A flaw was found in Ansible. The ansible-core `user` module can allow an unprivileged user to silently create or replace the contents of any file on any system path and take ownership of it when a privileged user executes the `user` module against the unprivileged user's home directory. If the unprivileged user has traversal permissions on the directory containing the exploited target file, they retain full control over the contents of the file as its owner.

nvd логотип

CVE-2024-9902

CVSS3: 6.3
nvd
около 1 года назад

A flaw was found in Ansible. The ansible-core `user` module can allow an unprivileged user to silently create or replace the contents of any file on any system path and take ownership of it when a privileged user executes the `user` module against the unprivileged user's home directory. If the unprivileged user has traversal permissions on the directory containing the exploited target file, they retain full control over the contents of the file as its owner.

msrc логотип

CVE-2024-9902

CVSS3: 6.3
msrc
4 месяца назад

Описание отсутствует

debian логотип

CVE-2024-9902

CVSS3: 6.3
debian
около 1 года назад

A flaw was found in Ansible. The ansible-core `user` module can allow ...

EPSS

Процентиль: 16%
0.00067
Низкий

6.3 Medium

CVSS3

5.7 Medium

CVSS2