Informazioni sul CVE-2024-8775
Ansible-core: exposure of sensitive information in ansible vault files due to improper logging
CWE ID: CWE-532
Base Score (CVSS): N/A
CVE: CVE-2024-8775
Descrizione: A flaw was found in Ansible, where sensitive information stored in Ansible Vault files can be exposed in plaintext during the execution of a playbook. This occurs when using tasks such as include_vars to load vaulted variables without setting the no_log: true parameter, resulting in sensitive data being printed in the playbook output or logs. This can lead to the unintentional disclosure of secrets like passwords or API keys, compromising security and potentially allowing unauthorized access or actions.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:10762
- https://access.redhat.com/errata/RHSA-2024:8969
- https://access.redhat.com/errata/RHSA-2024:9894
- https://access.redhat.com/errata/RHSA-2025:1249
- https://access.redhat.com/security/cve/CVE-2024-8775
- https://bugzilla.redhat.com/show_bug.cgi?id=2312119
- https://github.com/advisories/GHSA-jpxc-vmjf-9fcj
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Discovery 1 for RHEL 9
- Red Hat – Discovery 1 for RHEL 9
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 8
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 9
- Red Hat – Red Hat Ansible Automation Platform 2.5 for RHEL 8
- Red Hat – Red Hat Ansible Automation Platform 2.5 for RHEL 9
- Red Hat – Red Hat Enterprise Linux AI (RHEL AI)
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.4 for RHEL 8
Anno: 2024
CWE: CWE-532
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.4 for RHEL 9
Anno: 2024
CWE: CWE-532
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.5 for RHEL 8
Anno: 2024
CWE: CWE-532
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.5 for RHEL 9
Anno: 2024
CWE: CWE-532
CVSS: 0.0
Produttore:Red Hat
Prodotto: Ansible Automation Platform Execution Environments
Anno: 2024
CWE: CWE-532
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux AI (RHEL AI)
Anno: 2024
CWE: CWE-532
CVSS: 0.0
Produttore:Red Hat
Prodotto: Discovery 1 for RHEL 9
Anno: 2024
CWE: CWE-532
CVSS: 0.0