CVE-2023-39059

Опубликовано: 28 авг. 2023

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

An issue in ansible semaphore v.2.8.90 allows a remote attacker to execute arbitrary code via a crafted payload to the extra variables parameter.

Ссылки

https://gist.github.com/Alevsk/1757da24c5fb8db735d392fd4146ca3a
Third Party Advisory
https://www.alevsk.com/2023/07/a-quick-story-of-security-pitfalls-with-execcommand-in-software-integrations/
Exploit
Third Party Advisory
https://gist.github.com/Alevsk/1757da24c5fb8db735d392fd4146ca3a
Third Party Advisory
https://www.alevsk.com/2023/07/a-quick-story-of-security-pitfalls-with-execcommand-in-software-integrations/
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:ansible-semaphore:ansible_semaphore:2.8.90:*:*:*:*:ansible:*:*

EPSS

Процентиль: 81%

0.0159

Низкий

8.8 High

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-94

Связанные уязвимости

GHSA-3r32-cp7v-5wq4

CVSS3: 8.8

github

больше 2 лет назад

Code injection in ansible semaphore

BDU:2023-05938

CVSS3: 8.8

fstec

больше 2 лет назад

Уязвимость интерфейса системы управления конфигурациями Ansible Semaphore, связанная неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 81%

0.0159

Низкий

8.8 High

CVSS3

Дефекты

NVD-CWE-noinfo

CWE-94