🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Ansible-core: argument injection in ansible-galaxy role install (CVE-2026-11332)

11 June 2026 · bron: Microsoft Security Update Guide (MSRC) / Ansible · Hoog — arbitrary code execution via een kwaadaardige role

Deze staat dicht bij huis: CVE-2026-11332 is een argument injection in ansible-core waarbij ansible-galaxy role install kan leiden tot uitvoering van willekeurige code.

Wat is er aan de hand

Bij het installeren van een role via ansible-galaxy worden parameters onvoldoende geschoond, waardoor een kwaadaardige (of gemanipuleerde) role-bron argumenten kan injecteren die door de onderliggende tooling als commando’s worden uitgevoerd. Het aanvalsmodel: je installeert een role uit een niet-vertrouwde bron, en het installeren zelf voert al code uit.

Waarom dit relevant is voor dit project

De CI en de lokale workflow van SRV-CVE draaien ansible-galaxy collection install -r ansible/requirements.yml. We halen alleen vastgezette, bekende collections binnen (community.docker, community.general, ansible.posix) uit de officiële Galaxy — geen willekeurige roles van onbekende bronnen. Dat beperkt de blootstelling sterk, maar de les blijft: ansible-galaxy install is geen inerte download, het kan code draaien.

Advies

  • Werk ansible-core bij naar een gepatchte versie (op deze repo: bump de pin in requirements.txt zodra de fixed release ≥ 7 dagen oud is, en verifieer de gates).
  • Installeer roles/collections uitsluitend uit vertrouwde, vastgezette bronnen; nooit ansible-galaxy install op een willekeurige URL/role uit een issue of tutorial.
  • Draai ansible-galaxy niet als een user met meer rechten dan nodig.

Lees het origineel: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-11332

← terug naar overzicht