CVE-2019-19340

CVSS 8.2 HIGHEPSS 1.5%CWE-1188

Em resumo

O Ansible Tower expõe a interface de gerenciamento do RabbitMQ para a internet pública quando uma opção de configuração é habilitada, e se as credenciais padrão não foram alteradas, um invasor pode adivinhar a senha e tomar controle do sistema de mensagens.

Detalhe técnico

Quando o gerenciador do RabbitMQ é habilitado via parâmetro de configuração no Ansible Tower 3.5.x e 3.6.x, a interface de gerenciamento fica publicamente acessível sem restrições de rede. Se as credenciais padrão permanecerem inalteradas, um invasor pode realizar ataques de força bruta ou dicionário para se autenticar, potencialmente obtendo acesso administrativo ao RabbitMQ e comprometendo a integridade e disponibilidade do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A flaw was found in Ansible Tower, versions 3.6.x before 3.6.2 and 3.5.x before 3.5.3, where enabling RabbitMQ manager by setting it with '-e rabbitmq_enable_manager=true' exposes the RabbitMQ management interface publicly, as expected. If the default admin user is still active, an attacker could guess the password and gain access to the system.

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

Produtos afetados

Red Hat · Tower

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19340