Уязвимость интерфейса системы управления конфигурациями Ansible Semaphore связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Компенсирующие меры:
- отключение/блокировка функции Extra Variables, если это возможно (доступ к функции можно получить по адресу https://<semaphore-endpoint>/project/id/environment или с помощью флага --extra-vars);
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- мониторинг действий пользователей.
| Балл | 9 — высокая опасность |