CVE-2026-12382 in Ansible Automation Platform
Zusammenfassung
von VulDB • 16.07.2026
Es wurde ein Fehler in der Konfiguration des AAP Gateway Envoy-Proxys festgestellt. Die nicht-mTLS-Route zu den EDA-Ereignis-Streams entfernt den HTTP-Header „Subject“ aus Client-Anfragen nicht, obwohl im Quellcode requestHeadersToRemove für diesen Header definiert ist. Ein unberechtigter Remoteangreifer kann einen gefälschten Subject-Header einfügen, der mit dem Distinguished Name (DN) eines legitimen Client-Zertifikats übereinstimmt, um die mTLS-Authentifizierung zu umgehen und beliebige Ereignisse in geschützte EDA-Ereignis-Streams einzuschleusen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.