CVE-2026-12382 in Ansible Automation Platforminfo

Zusammenfassung

von VulDB • 16.07.2026

Es wurde ein Fehler in der Konfiguration des AAP Gateway Envoy-Proxys festgestellt. Die nicht-mTLS-Route zu den EDA-Ereignis-Streams entfernt den HTTP-Header „Subject“ aus Client-Anfragen nicht, obwohl im Quellcode requestHeadersToRemove für diesen Header definiert ist. Ein unberechtigter Remoteangreifer kann einen gefälschten Subject-Header einfügen, der mit dem Distinguished Name (DN) eines legitimen Client-Zertifikats übereinstimmt, um die mTLS-Authentifizierung zu umgehen und beliebige Ereignisse in geschützte EDA-Ereignis-Streams einzuschleusen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Redhat

Reservieren

16.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379331

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!