RHEL 9:Red Hat Ansible Automation Platform 2.6 产品安全和缺陷修复更新(重要)(RHSA-2026:34160)

high Nessus 插件 ID 324569

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2026:34160 公告中提及的多个漏洞影响。

Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

安全修复:

* automation-platform-ui:Axios:由于未强制执行的请求和响应大小限制而导致拒绝服务 (CVE-2026-44488)
* automation-platform-ui:Axios:由于原型污染漏洞 (CVE-2026-44495) 导致的信息泄露
* automation-platform-ui:fast-uri:由于不当分隔符处理 (CVE-2026-6322) 导致 URI 颁发机构绕过
* automation-platform-ui:Axios:通过原型污染 (CVE-2026-42035) 进行的任意 HTTP 标头注入
* automation-platform-ui:DOMPurify:通过不一致的标签审查 (CVE-2026-41240) 造成的跨站脚本 (XSS)
* automation-platform-ui:protobufjs:由于从构建的 protobuf 描述符 ()CVE-2026-44293 生成不安全的表达式,导致任意代码执行
* python3.12-pyjwt:由于伪造的 JSON Web 令牌造成的身份验证绕过 (CVE-2026-48526)
* automation-controller:Dynaconf:通过服务器端模板注入 (CVE-2026-33154) 执行任意代码
* python3.12-urllib3:通过跨源重定向转发敏感标头 (CVE-2026-44431) 泄露信息
* python3.12-urllib3:HTTP 响应解压缩过多导致的拒绝服务 (CVE-2026-44432)

有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2026:34160

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2449774

https://bugzilla.redhat.com/show_bug.cgi?id=2461147

https://bugzilla.redhat.com/show_bug.cgi?id=2461606

https://bugzilla.redhat.com/show_bug.cgi?id=2466684

https://bugzilla.redhat.com/show_bug.cgi?id=2477104

https://bugzilla.redhat.com/show_bug.cgi?id=2477154

https://bugzilla.redhat.com/show_bug.cgi?id=2477167

https://bugzilla.redhat.com/show_bug.cgi?id=2482734

https://bugzilla.redhat.com/show_bug.cgi?id=2487937

https://bugzilla.redhat.com/show_bug.cgi?id=2487949

http://www.nessus.org/u?2242e607

http://www.nessus.org/u?89e9dbff

http://www.nessus.org/u?b01b33cb

插件详情

严重性: High

ID: 324569

文件名: redhat-RHSA-2026-34160.nasl

版本: 1.2

类型: Local

代理: unix

发布时间: 2026/7/1

最近更新时间: 2026/7/15

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: High

分数: 7.6

百分位: 98.47

Vendor

Vendor Severity: Important

CVSS v2

风险因素: High

基本分数: 9

时间分数: 7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-44293

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

风险因素: High

Base Score: 8.9

Threat Score: 7.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

CVSS 分数来源: CVE-2026-44432

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, p-cpe:/a:redhat:enterprise_linux:automation-controller-ui, p-cpe:/a:redhat:enterprise_linux:python3.12-pyjwt%2bcrypto, p-cpe:/a:redhat:enterprise_linux:python3.12-urllib3, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:python3.12-pyjwt, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:automation-platform-ui

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/7/1

漏洞发布日期: 2026/3/18

参考资料信息

CVE: CVE-2026-33154, CVE-2026-41240, CVE-2026-42035, CVE-2026-44293, CVE-2026-44431, CVE-2026-44432, CVE-2026-44488, CVE-2026-44495, CVE-2026-48526, CVE-2026-6322

CWE: 140, 201, 347, 409, 770, 79, 915, 917, 94

IAVA: 2026-A-0666

RHSA: 2026:34160