CRITICAL🇬🇧 English

CVE-2017-7481

CVSS 9.8v3.1pub. 2018-07-19upd. 2024-11-21

Ansible before versions 2.3.1.0 and 2.4.0.0 fails to properly mark lookup-plugin results as unsafe. If an attacker could control the results of lookup() calls, they could inject Unicode strings to be parsed by the jinja2 templating system, resulting in code execution. By default, the jinja2 templating language is now marked as 'unsafe' and is not evaluated.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Canonical Ubuntu

    OS
    Canonical
    16.0418.0419.04
  • Debian

    OS
    Debian
    9.0
  • Red Hat Ansible Engine

    APP
    Redhat
    2.3.2.0 – 2.4.0.0 (bez)< 2.3.1.0
  • Red Hat Enterprise Linux

    OS
    Redhat
    7.0
  • Red Hat Gluster Storage

    APP
    Redhat
    3.2
  • Red Hat OpenShift Container Platform

    APP
    Redhat
    3.33.43.5
  • Red Hat Openstack

    APP
    Redhat
    1011
  • Red Hat Storage Console

    APP
    Redhat
    2.0
  • Red Hat Virtualization

    APP
    Redhat
    4.1
  • Red Hat Virtualization Manager

    APP
    Redhat
    4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki