Katalog CVE

CVE-2026-11807

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W interfejsie WebSocket Event-Driven Ansible (EDA) wykryto brak autoryzacji. Endpoint /api/eda/ws/ansible-rulebook nie weryfikuje uprawnień użytkownika podczas przetwarzania wiadomości Worker. Każdy uwierzytelniony użytkownik może wysłać sfałszowaną wiadomość z dowolnym activation_id, aby uzyskać poświadczenia w postaci jawnego tekstu powiązane z tą aktywacją, w tym tokeny OAuth, hasła do vaultów i klucze SSH.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży wrażliwych poświadczeń (tokeny OAuth, hasła, klucze SSH) przez dowolnego uwierzytelnionego użytkownika, co może prowadzić do nieautoryzowanego dostępu do systemów i danych.

Rekomendacja

Należy natychmiast zaimplementować weryfikację uprawnień użytkownika dla endpointu WebSocket oraz ograniczyć dostęp do niego tylko dla zaufanych Workerów. Aktualizacja do najnowszej wersji EDA z poprawką jest zalecana.

Oryginalny opis (angielski, źródło NVD)

A missing authorization vulnerability was found in the Event-Driven Ansible (EDA) websocket API. The /api/eda/ws/ansible-rulebook endpoint does not verify user permissions when processing Worker messages. Any authenticated user can send a forged message with an arbitrary activation_id to receive plaintext credentials associated with that activation, including OAuth tokens, vault passwords, and SSH keys.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS