Ansible 2.9.9 捆绑 PyYAML 库包含 21 个漏洞，最高严重性达 9.8 分

一个广泛使用的 IT 自动化工具 Ansible 的旧版本 2.9.9 被发现捆绑了一个包含 21 个已知安全漏洞的 PyYAML 库，其中最高严重性评分为 9.8 分（CVSS v3）。这个关键漏洞（CVE-2020-14343）存在于直接依赖项 PyYAML 5.3.1 中，为攻击者提供了潜在的远程代码执行路径。该漏洞的利用成熟度虽未明确定义，但其利用可能性评分（EPSS）为 14.0%，表明存在不可忽视的活跃利用风险。

此次发现的核心是 Ansible 2.9.9 发行包（ansible-2.9.9.tar.gz）内嵌的 PyYAML 库版本过旧。该库是 Ansible 解析 YAML 配置和清单文件的核心组件。漏洞路径清晰指向 `/requirements.txt` 文件及其在 Python 环境中的具体安装位置。安全扫描显示，针对 CVE-2020-14343 的修复版本是 PyYAML 5.4，且修复方案已可用，但旧版 Ansible 的默认捆绑库并未更新。

这一情况对仍在使用 Ansible 2.9.9 或类似旧版本进行基础设施配置管理的企业构成了直接威胁。由于 Ansible 通常以高权限运行，用于管理服务器、网络设备和云资源，其核心组件中的漏洞可能被利用来破坏整个自动化管道，导致大规模的系统入侵。这凸显了在软件供应链中，即使是对间接或捆绑依赖项进行持续漏洞管理和版本升级也至关重要。组织需要立即审查其 Ansible 部署，并优先将 PyYAML 依赖升级至已修复的安全版本。