Red Hat Ansible Automation Platform 2.5 模板注入漏洞 (CVE-2025-49521)

关键信息 漏洞编号: CVE-2025-49521 漏洞类型: Template Injection via Git Branch and Refspec in EDA Projects 报告时间: 2025-06-06 15:39 UTC 修改时间: 2025-06-30 21:20 UTC 优先级: high 严重性: high 影响产品: Red Hat Ansible Automation Platform 2.5 for RHEL 8 和 Red Hat Ansible Automation Platform 2.5 for RHEL 9 修复公告: RHSA-2025:9986 漏洞描述: - 在Ansible Automation Platform的EDA项目创建过程中，Git元数据字段（分支、标签、提交、refspec）存在模板注入漏洞。 - 用户输入直接传递给Ansible Jinja2模板并进行评估，但未进行适当的清理。 - 攻击者可以注入如 或 等表达式，在项目同步期间执行。 - 这导致任意命令执行和文件泄露在EDA工作者上。在OpenShift环境中，攻击者可以获取工作者pod使用的Service Account Token，并在集群内提升权限。 修复措施: - 该问题已在以下产品中得到解决： - Red Hat Ansible Automation Platform 2.5 for RHEL 8 - Red Hat Ansible Automation Platform 2.5 for RHEL 9 - 详情参见RHSA-2025:9986: https://access.redhat.com/errata/RHSA-2025:9986

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Red Hat Ansible Automation Platform 2.5 模板注入漏洞 (CVE-2025-49521)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！