В компоненте создания маршрутов Red Hat Ansible Automation Platform Gateway была обнаружена ошибка. Эта уязвимость позволяет похищать учетные данные путем создания вводящих в заблуждение маршрутов с использованием префикса двойной косой черты (//) в аргументе_пути_шлюза. Злонамеренный или с помощью социальной инженерии администратор может настроить маршрут-приманку для перехвата и кражи учетных данных пользователей, потенциально сохраняя постоянный доступ или создавая бэкдор даже после отзыва их разрешений.
Показать оригинальное описание (EN)
A flaw was found in the Red Hat Ansible Automation Platform Gateway route creation component. This vulnerability allows credential theft via the creation of misleading routes using a double-slash (//) prefix in the gateway_path. A malicious or socially engineered administrator can configure a honey-pot route to intercept and exfiltrate user credentials, potentially maintaining persistent access or creating a backdoor even after their permissions are revoked.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 7
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Redhat Ansible_Automation_Platform
cpe:2.3:a:redhat:ansible_automation_platform:*:*:*:*:*:*:*:*
|
— |
2.6
|
|
Redhat Ansible_Developer
cpe:2.3:a:redhat:ansible_developer:1.2:*:*:*:*:*:*:*
|
— | — |
|
Redhat Ansible_Developer
cpe:2.3:a:redhat:ansible_developer:1.3:*:*:*:*:*:*:*
|
— | — |
|
Redhat Ansible_Inside
cpe:2.3:a:redhat:ansible_inside:1.3:*:*:*:*:*:*:*
|
— | — |
|
Redhat Ansible_Inside
cpe:2.3:a:redhat:ansible_inside:1.4:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
|
— | — |
|
Redhat Enterprise_Linux
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*
|
— | — |