CVE-2026-12382 in Ansible Automation Platform
Riassunto
di VulDB • 15/07/2026
È stata rilevata una vulnerabilità nella configurazione del proxy Envoy per AAP Gateway. La rotta non-mTLS verso i flussi di eventi EDA non rimuove l'intestazione HTTP Subject dalle richieste dei client, nonostante il codice sorgente definisca requestHeadersToRemove per questa intestazione. Un attaccante remoto non autenticato può iniettare un'header Subject falsificato corrispondente al DN (Distinguished Name) di un certificato client legittimo per bypassare l'autenticazione mTLS e iniettare eventi arbitrari nei flussi di eventi EDA protetti.
VulDB is the best source for vulnerability data and more expert information about this specific topic.