anonhaven

CVE-2025-9907

MEDIUM CVSS 3.1: 6,7 EPSS 0.01%
Обновлено 26 марта 2026
Red Hat
Параметр Значение
CVSS 6,7 (MEDIUM)
Уязвимые версии до 2.6
Устранено в версии 2.6
Тип уязвимости CWE-200 (Раскрытие информации)
Поставщик Red Hat
Публичный эксплойт Нет

В платформе автоматизации Red Hat Ansible, Event-Driven Ansible (EDA) Event Stream API, обнаружена уязвимость. Эта уязвимость позволяет раскрыть конфиденциальные учетные данные клиента и заголовки внутренней инфраструктуры через поле test_headers, когда поток событий находится в тестовом режиме. Возможный результат включает в себя утечку сведений о внутренней инфраструктуре, случайное раскрытие учетных данных пользователя или системы, повышение привилегий в случае раскрытия ценных токенов и постоянное раскрытие конфиденциальных данных всем пользователям, имеющим доступ на чтение в потоке событий.

Показать оригинальное описание (EN)

A flaw was found in the Red Hat Ansible Automation Platform, Event-Driven Ansible (EDA) Event Stream API. This vulnerability allows exposure of sensitive client credentials and internal infrastructure headers via the test_headers field when an event stream is in test mode. The possible outcome includes leakage of internal infrastructure details, accidental disclosure of user or system credentials, privilege escalation if high-value tokens are exposed, and persistent sensitive data exposure to all users with read access on the event stream.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 7

Конфигурация От (включительно) До (исключительно)
Redhat Ansible_Automation_Platform
cpe:2.3:a:redhat:ansible_automation_platform:*:*:*:*:*:*:*:*
 2.6
Redhat Ansible_Developer
cpe:2.3:a:redhat:ansible_developer:1.2:*:*:*:*:*:*:*
Redhat Ansible_Developer
cpe:2.3:a:redhat:ansible_developer:1.3:*:*:*:*:*:*:*
Redhat Ansible_Inside
cpe:2.3:a:redhat:ansible_inside:1.3:*:*:*:*:*:*:*
Redhat Ansible_Inside
cpe:2.3:a:redhat:ansible_inside:1.4:*:*:*:*:*:*:*
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*

Ссылки 6

https://access.redhat.com/errata/RHSA-2025:19201
secalert@redhat.com
https://access.redhat.com/errata/RHSA-2025:19221
secalert@redhat.com
https://access.redhat.com/errata/RHSA-2025:23069
secalert@redhat.com
https://access.redhat.com/errata/RHSA-2025:23131
secalert@redhat.com
https://access.redhat.com/security/cve/CVE-2025-9907
secalert@redhat.com
https://bugzilla.redhat.com/show_bug.cgi?id=2392834
secalert@redhat.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-2625

Red Hat

4,0

CVE-2025-12805

Red Hat

8,1

CVE-2026-4324

Red Hat

5,4

CVE-2026-0980

Red Hat

8,8

CVE-2025-9909

Red Hat

6,7