Ansible-core: argument injection in ansible-galaxy role install (CVE-2026-11332)
Deze staat dicht bij huis: CVE-2026-11332 is een argument injection in ansible-core
waarbij ansible-galaxy role install kan leiden tot uitvoering van willekeurige code.
Wat is er aan de hand
Bij het installeren van een role via ansible-galaxy worden parameters onvoldoende
geschoond, waardoor een kwaadaardige (of gemanipuleerde) role-bron argumenten kan injecteren
die door de onderliggende tooling als commando’s worden uitgevoerd. Het aanvalsmodel: je
installeert een role uit een niet-vertrouwde bron, en het installeren zelf voert al code uit.
Waarom dit relevant is voor dit project
De CI en de lokale workflow van SRV-CVE draaien
ansible-galaxy collection install -r ansible/requirements.yml. We halen alleen vastgezette,
bekende collections binnen (community.docker, community.general, ansible.posix) uit de
officiële Galaxy — geen willekeurige roles van onbekende bronnen. Dat beperkt de blootstelling
sterk, maar de les blijft: ansible-galaxy install is geen inerte download, het kan code
draaien.
Advies
- Werk ansible-core bij naar een gepatchte versie (op deze repo: bump de pin in
requirements.txtzodra de fixed release ≥ 7 dagen oud is, en verifieer de gates). - Installeer roles/collections uitsluitend uit vertrouwde, vastgezette bronnen; nooit
ansible-galaxy installop een willekeurige URL/role uit een issue of tutorial. - Draai
ansible-galaxyniet als een user met meer rechten dan nodig.