CVE-2020-10684

Опубликовано: 24 мар. 2020

Источник: ubuntu

Приоритет: medium

EPSS Низкий

CVSS2: 3.6

CVSS3: 7.9

Описание

A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9.x prior to 2.7.17, 2.8.9 and 2.9.6 respectively, when using ansible_facts as a subkey of itself and promoting it to a variable when inject is enabled, overwriting the ansible_facts after the clean. An attacker could take advantage of this by altering the ansible_facts, such as ansible_hosts, users and any other key data which would lead into privilege escalation or code injection.

Релиз	Статус	Примечание
bionic	ignored	end of standard support, was needs-triage
devel	not-affected	2.9.7+dfsg-1
eoan	ignored	end of life
esm-apps/bionic	needed
esm-apps/focal	needed
esm-apps/jammy	not-affected	2.9.7+dfsg-1
esm-apps/noble	not-affected	2.9.7+dfsg-1
esm-apps/xenial	ignored	changes too intrusive
esm-infra-legacy/trusty	ignored	changes too intrusive
focal	ignored	end of standard support, was needed

Показывать по

Ссылки на источники

EPSS

Процентиль: 6%

0.00024

Низкий

3.6 Low

CVSS2

7.9 High

CVSS3

Связанные уязвимости

CVE-2020-10684

CVSS3: 7.9

redhat

почти 6 лет назад

CVE-2020-10684

CVSS3: 7.9

nvd

почти 6 лет назад

CVE-2020-10684

CVSS3: 7.9

debian

почти 6 лет назад

A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9. ...

GHSA-p62g-jhg6-v3rq

CVSS3: 7.1

github

почти 5 лет назад

Code Injection, Race Condition, and Execution with Unnecessary Privileges in Ansible

BDU:2020-05829

fstec

почти 6 лет назад

Уязвимость системы управления конфигурациями Ansible, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

EPSS

Процентиль: 6%

0.00024

Низкий

3.6 Low

CVSS2

7.9 High

CVSS3

CVE-2020-10684

Описание

Пакет ansible

Ссылки на источники

Связанные уязвимости