~/news/cve-2026-11807
CRITICALCVSS 9.6CVE-2026-1180723/06/2026 - 22:20

CVE-2026-11807: EDA WebSocket API - Falha de Autorização

A vulnerabilidade permite que qualquer usuário autenticado envie mensagens forjadas para obter credenciais em texto puro associadas a uma ativação específica. Isso inclui tokens OAuth, senhas de vault e chaves SSH. A falha ocorre devido à falta de verificação de permissões de usuário na API WebSocket do Event-Driven Ansible. O impacto real é a possibilidade de obtenção de credenciais sensíveis por parte de usuários mal-intencionados.

Falha de AutorizaçãoEDAWebSocket APICredenciais em Texto Puro
← voltarfonte original ↗

CVE: CVE-2026-11807

Severidade: CRITICAL

Resumo:

A vulnerabilidade permite que qualquer usuário autenticado envie mensagens forjadas para obter credenciais em texto puro associadas a uma ativação específica. Isso inclui tokens OAuth, senhas de vault e chaves SSH. A falha ocorre devido à falta de verificação de permissões de usuário na API WebSocket do Event-Driven Ansible. O impacto real é a possibilidade de obtenção de credenciais sensíveis por parte de usuários mal-intencionados.

CVSS: 9.6