CVE-2026-44188
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W Ansible Lightspeed znaleziono lukę związaną z niewystarczającym wygasaniem sesji, co pozwala zdalnemu atakującemu na utrzymanie trwałego dostępu do instancji Ansible Lightspeed. Atakujący, który wykradnie ważny token dostępu OAuth przed wylogowaniem użytkownika, może kontynuować autoryzację i uzyskiwać dostęp do wrażliwych danych.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do zasobów Ansible, takich jak inwentarze, playbooki i dane konfiguracyjne, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się, aby administratorzy zapewnili, że tokeny dostępu są unieważniane na backendzie po wylogowaniu użytkownika, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Ansible Lightspeed. This vulnerability, related to insufficient session expiration, allows a remote attacker to maintain persistent access to the Ansible Lightspeed instance. If an attacker exfiltrates a valid OAuth (Open Authorization) access token before a user logs out, they can continue to authenticate and access sensitive data. This is because the application fails to invalidate the token on the backend, leaving it valid until its natural expiration. This can lead to unauthorized read access to Ansible resources such as inventories, playbooks, and configuration data.

