平台
linux
组件
ansible-automation-platform
修复版本
2.5.4
CVE-2025-57847 是 Red Hat Ansible Automation Platform 中发现的一个容器权限提升漏洞。该漏洞源于 Ansible Automation Platform 镜像在构建过程中,将 /etc/passwd 文件创建为组可写权限。如果攻击者能够在受影响的容器中执行命令,即使是非 root 用户,他们也可以利用其在 root 组中的身份来修改 /etc/passwd 文件,从而获得容器内的 root 权限。该漏洞影响 Ansible Automation Platform 2.0.0–2.5.3 版本,已在 2.5.4 版本中修复。
在某些 Ansible Automation Platform 镜像中发现了一个容器权限提升漏洞 (CVE-2025-57847)。此问题源于在镜像构建过程中,/etc/passwd 文件以组可写权限创建。这意味着,即使以非 root 用户身份,攻击者如果能够在受影响的容器中执行命令,并且是 root 组的成员,则可能修改此文件。成功修改后,攻击者可以添加具有任意 UID 的新用户,从而可能获得对系统的 root 访问权限。该漏洞的严重程度评分为 CVSS 6.4,表明存在中等风险。为了减轻此风险,必须升级到 2.5.4 或更高版本。
利用此漏洞需要攻击者能够在受影响的容器中执行命令。这可以通过利用容器内运行的应用程序中的漏洞或利用错误配置来实现。攻击者还必须是 root 组的成员才能修改 /etc/passwd 文件。一旦攻击者修改了 /etc/passwd 文件以添加具有 root UID 的新用户,他们就可以以该用户身份进行身份验证并获得对系统的 root 访问权限。利用的复杂性取决于容器内执行路径的存在以及组成员资格。
漏洞利用状态
EPSS
0.00% (0% 百分位)
CISA SSVC
CVSS 向量
建议的解决方案是将 Ansible Automation Platform 升级到 2.5.4 或更高版本。此版本包含一项修复程序,可防止以组可写权限创建 /etc/passwd 文件。如果无法立即升级,请检查容器配置,以限制对 /etc 目录的写入权限。 遵循最小权限原则,确保容器内的用户仅具有执行其任务所需的权限,也至关重要。 监控容器活动并实施强大的安全策略可以进一步帮助检测和防止潜在的利用。
Actualice a la versión 2.5.4 o posterior de Red Hat Ansible Automation Platform. Esta versión corrige la vulnerabilidad al asegurar que el archivo /etc/passwd no se cree con permisos de escritura de grupo, previniendo la escalada de privilegios.
漏洞分析和关键警报直接发送到您的邮箱。
2.5.4 之前的版本容易受到此漏洞的影响。
是的,建议重启容器以使修复生效。
实施临时缓解措施,例如限制对 /etc 的写入权限并应用最小权限原则。
目前尚未发现公开的利用程序,但建议升级以避免未来的风险。
检查您使用的 Ansible Automation Platform 版本。如果该版本早于 2.5.4,则容易受到攻击。