0x00 漏洞编号

• CVE-2023-5115

0x01 危险等级

• 中危
  

0x02 漏洞概述

Ansible是一款基于Python的自动化运维工具，可以实现批量系统配置、批量程序部署、批量运行命令等功能。

0x03 漏洞详情

CVE-2023-5115

漏洞类型：路径遍历

影响：文件覆盖

简述：Ansible中存在路径遍历漏洞，威胁者可制作恶意Ansible角色存档并诱导受害者执行，通过符号链接攻击覆盖提取路径之外的文件。当使用“ansible-galaxy role install”安装恶意创建的Ansible角色时，用户可访问的任意文件可能会被覆盖。

0x04 影响版本

• Ansible < 2.14.11

• Ansible < 2.15.5

• Ansible < 2.16.0

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://github.com/ansible/ansible

原文始发于微信公众号（浅安安全）：漏洞预警 | Ansible路径遍历漏洞