در مؤلفهی EDA پلتفرم Ansible یک آسیبپذیری سطح بالا شناسایی شده است که در آن، آدرسهای Git ارائهشده توسط کاربر، بدون فیلتر و پاکسازی لازم به دستور git ls-remote ارسال میشوند.
این ضعف امنیتی به مهاجم دارای دسترسی احراز هویتشده این امکان را میدهد تا با تنظیم آرگومانهای دلخواه، دستورات مخربی را روی EDA Worker اجرا کند.
در محیطهای Kubernetes یا OpenShift، این مسئله میتواند منجر به سرقت توکن حسابهای سرویس و دسترسی غیرمجاز به کلاستر شود.
توصیههای امنیتی
- به کاربران توصیه میشود که بهمحض انتشار وصله امنیتی، سیستمهای خود را در سریعترین زمان ممکن بهروزرسانی کرده و آسیبپذیری را برطرف نمایند.
منبع خبر:
- 8