CVE-2025-14025CVE-2025-14025是Ansible Automation Platform(AAP)中一个高危的权限绕过漏洞,CVSS评分达到8.5分。该漏洞源于AAP的Gateway层对只读作用域OAuth2 API令牌的实现缺陷。在正常情况下,只读令牌应该被限制为仅执行查询操作,不能进行任何修改操作。然而,由于Gateway层在处理API请求时存在验证漏洞,攻击者可以使用这些只读令牌在后端服务(如Controller、Hub、EDA)上执行写入操作。这意味着原本只应具有查询权限的令牌可以被滥用来创建、修改或删除资源。漏洞的影响范围受限于目标账户基于角色的访问控制(RBAC),即攻击者的能力上限由被入侵账户的权限级别决定。该漏洞由Red Hat安全团队([email protected])发现并披露,于2026年1月8日正式公开。攻击向量为网络级别,需要低权限认证,但无需用户交互即可实施攻击,因此具有较高的实际威胁性。企业用户应尽快评估受影响版本并采取修复措施。
该漏洞的技术本质是AAP Gateway层对OAuth2 API令牌的权限验证存在缺陷。在AAP的架构中,Gateway作为API请求的统一入口点,负责令牌验证和请求路由。理论上,Gateway应该根据令牌的scope属性(如read、write、admin)来限制可执行的操作类型。然而,当前实现中Gateway仅对Gateway自身的特定操作执行了scope检查,而对于转发到后端服务(如Automation Controller、Automation Hub、Event-Driven Ansible)的请求,令牌的scope检查被绕过或执行不完整。具体来说,当攻击者持有一个只读(read scope)令牌时,可以构造针对后端服务的写操作API请求。Gateway在接收请求后,由于缺少针对后端服务操作的权限检查逻辑,直接将请求转发到目标后端服务执行。攻击者可以通过发送精心构造的HTTP请求(如POST、PUT、DELETE方法)来触发写操作,例如创建新用户、修改配置、删除资源等。由于AAP内部服务之间的信任关系,后端服务会执行这些请求而不重新验证令牌的scope。攻击成功的关键在于AAP的内部通信机制允许Gateway代表用户向后端服务发起请求,而此时后端服务信任来自Gateway的请求。