Informazioni sul CVE-2024-9902
Ansible-core: ansible-core user may read/write unauthorized content
CWE ID: CWE-863
Base Score (CVSS): N/A
CVE: CVE-2024-9902
Descrizione: A flaw was found in Ansible. The ansible-core `user` module can allow an unprivileged user to silently create or replace the contents of any file on any system path and take ownership of it when a privileged user executes the `user` module against the unprivileged user’s home directory. If the unprivileged user has traversal permissions on the directory containing the exploited target file, they retain full control over the contents of the file as its owner.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: Low.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | L | Low | Interferenza limitata. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:10762
- https://access.redhat.com/errata/RHSA-2024:8969
- https://access.redhat.com/errata/RHSA-2024:9894
- https://access.redhat.com/errata/RHSA-2025:1861
- https://access.redhat.com/security/cve/CVE-2024-9902
- https://bugzilla.redhat.com/show_bug.cgi?id=2318271
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Ansible Automation Platform Execution Environments
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 8
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 9
- Red Hat – Red Hat Ansible Automation Platform 2.5 for RHEL 8
- Red Hat – Red Hat Ansible Automation Platform 2.5 for RHEL 9
- Red Hat – Red Hat OpenStack Platform 17.1 for RHEL 9
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.4 for RHEL 8
Anno: 2024
CWE: CWE-863
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.4 for RHEL 9
Anno: 2024
CWE: CWE-863
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat OpenStack Platform 17.1 for RHEL 9
Anno: 2024
CWE: CWE-863
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.5 for RHEL 8
Anno: 2024
CWE: CWE-863
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.5 for RHEL 9
Anno: 2024
CWE: CWE-863
CVSS: 0.0
Produttore:Red Hat
Prodotto: Ansible Automation Platform Execution Environments
Anno: 2024
CWE: CWE-863
CVSS: 0.0