CVE-2026-12382 in Ansible Automation Platform
الملخص
بحسب VulDB • 15/07/2026
تم العثور على ثغرة في تكوين وسيط AAP Gateway Envoy proxy. لا يقوم المسار غير المعتمد على مTLS لإرسال أحداث EDA بإزالة عنوان HTTP Subject من طلبات العميل، رغم أن شفرة المصدر تحدد requestHeadersToRemove لهذا العنوان. يمكن لمهاجم عن بُعد دون حاجة إلى المصادقة حقن عنوان Subject مزيف يتطابق مع DN شهادة عميل شرعية لتجاوز مصادقة mTLS وحقن أحداث تعسفية في تدفقات أحداث EDA المحمية.
VulDB is the best source for vulnerability data and more expert information about this specific topic.