漏洞详情

包管理器: pip 包名: ansible (pip) 受影响版本: < 12.2.0 已修复版本: 12.2.0

描述

在 ansible-collection-community-general 中发现一个安全缺陷。此漏洞允许通过信息暴露（IE）泄露敏感凭证，特别是当以调试模式运行Ansible时，明文密码可能通过详细输出泄露。能够访问日志的攻击者可能获取这些密钥，进而可能危及Keycloak账户或获得管理访问权限。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-14010
• https://access.redhat.com/security/cve/CVE-2025-14010
• https://bugzilla.redhat.com/show_bug.cgi?id=2418774
• ansible-collections/community.general#11000
• ansible-collections/community.general@08e56bb
• https://github.com/ansible-community/ansible-build-data/blob/12.2.0/12/CHANGELOG-v12.md#security-fixes

发布时间线

• 由国家漏洞数据库发布: 2025年12月4日
• 发布至GitHub咨询数据库: 2025年12月4日
• 审查时间: 2025年12月5日
• 最后更新时间: 2025年12月5日

严重程度

等级: 中等 CVSS总体评分: 5.5 / 10

CVSS v3 基础指标

• 攻击向量（AV）: 本地（L）
• 攻击复杂度（AC）: 低（L）
• 所需权限（PR）: 低（L）
• 用户交互（UI）: 无（N）
• 影响范围（S）: 未改变（U）
• 机密性影响（C）: 高（H）
• 完整性影响（I）: 无（N）
• 可用性影响（A）: 无（N）

CVSS向量字符串: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

EPSS 分数

分数: 0.012% (第1百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。

安全弱点

弱点标识: CWE-200 弱点描述: 向未授权参与者暴露敏感信息 该产品将敏感信息暴露给未明确授权访问该信息的参与者。

标识符

• CVE ID: CVE-2025-14010
• GHSA ID: GHSA-8ggh-xwr9-3373

源代码

仓库: ansible-collections/community.general

致谢

分析师: reanguiano

本咨询已编辑。请查看历史记录。