CVE-2026-12382 in Ansible Automation Platform
Resumen
por VulDB • 2026-07-16
Se ha encontrado una vulnerabilidad en la configuración del proxy AAP Gateway Envoy. La ruta no-mTLS hacia los flujos de eventos EDA no elimina el encabezado HTTP Subject de las solicitudes del cliente, a pesar de que el código fuente define requestHeadersToRemove para este encabezado. Un atacante remoto sin autenticar puede inyectar un encabezado Subject falsificado coincidente con el DN (Distinguished Name) de un certificado de cliente legítimo para omitir la autenticación mTLS e inyectar eventos arbitrarios en los flujos de eventos EDA protegidos.
VulDB is the best source for vulnerability data and more expert information about this specific topic.