Plataforma
python
Componente
event-driven-ansible
Corregido en
*
Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en el componente Event-Driven Ansible (EDA) de la plataforma Ansible Automation Platform. Esta falla se origina en la evaluación de valores de rama o refspec de Git proporcionados por el usuario como plantillas Jinja2. Un atacante autenticado puede inyectar expresiones que ejecuten comandos o accedan a archivos sensibles en el worker de EDA, lo que podría comprometer la seguridad del sistema. La vulnerabilidad afecta a versiones 1.1.11-1.el8ap-* y se recomienda aplicar la actualización disponible.
La vulnerabilidad CVE-2025-49521 permite a un atacante autenticado ejecutar código arbitrario en el worker de EDA. Esto se logra inyectando código malicioso dentro de los valores de rama o refspec de Git, que son evaluados como plantillas Jinja2. El atacante puede entonces ejecutar comandos del sistema operativo, acceder a archivos confidenciales, o incluso comprometer la infraestructura subyacente. En entornos OpenShift, la explotación exitosa de esta vulnerabilidad podría resultar en el robo de tokens de la cuenta de servicio, permitiendo al atacante escalar privilegios y obtener acceso no autorizado a recursos críticos. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad ha sido publicada el 30 de junio de 2025. No se ha confirmado la explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (RCE) y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Es importante implementar las mitigaciones recomendadas lo antes posible para reducir el riesgo de ataque. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Event-Driven Ansible for automation workflows, particularly those deploying Ansible Automation Platform within OpenShift environments, are at significant risk. Legacy configurations with permissive Git access controls and shared hosting environments where multiple users have access to the EDA worker are also particularly vulnerable.
• python / server:
import os
import subprocess
# Example: Check for suspicious Jinja2 template usage in EDA worker logs
with open('/var/log/eda/worker.log', 'r') as f:
for line in f:
if 'jinja2.Environment.from_string' in line:
print(f'Potential Jinja2 template injection attempt: {line}')• python / supply-chain: Monitor EDA worker processes for unusual command-line arguments or network connections. • generic web: Review EDA worker access logs for requests containing suspicious Git branch or refspec values.
disclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-49521 es actualizar a una versión de Event-Driven Ansible que contenga la corrección. Dado que la versión corregida es '*', se recomienda contactar a Red Hat para obtener la versión más reciente y segura. Como medida temporal, se puede restringir el acceso a las ramas y refspec de Git, validando y sanitizando estrictamente las entradas proporcionadas por el usuario. Además, se recomienda revisar y fortalecer las políticas de control de acceso en OpenShift para mitigar el riesgo de robo de tokens de la cuenta de servicio. Después de la actualización, confirme la corrección revisando los registros del sistema en busca de intentos de inyección de código malicioso.
Actualice Red Hat Ansible Automation Platform a la última versión disponible. Esto solucionará la vulnerabilidad de inyección de plantillas Jinja2. Consulte el aviso de seguridad RHSA-2025:9986 para obtener más detalles e instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49521 is a HIGH severity vulnerability in Event-Driven Ansible allowing authenticated users to inject Jinja2 templates, potentially executing commands or accessing sensitive files on the EDA worker.
If you are using Event-Driven Ansible version 1.1.11-1.el8ap-* or earlier, you are potentially affected by this vulnerability. Upgrade as soon as possible.
The recommended fix is to upgrade to a patched version of Event-Driven Ansible. Until then, restrict Git branch/refspec input and review EDA worker permissions.
Active exploitation is not currently confirmed, but the vulnerability's severity warrants vigilance and proactive mitigation.
Refer to the official Red Hat security advisory for details and updates regarding CVE-2025-49521.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.