Ansible 2.9.9 捆绑 PyYAML 库曝出 21 项漏洞，包含 CVSS 9.8 分关键缺陷

红帽旗下核心自动化工具 Ansible 的一个旧版本被发现捆绑了存在严重安全缺陷的依赖库，为大规模企业 IT 基础设施引入了高风险。安全扫描显示，Ansible 2.9.9 的发行包 `ansible-2.9.9.tar.gz` 内嵌的 `PyYAML-5.3.1.tar.gz` 库存在 21 项安全漏洞，其中最高严重性评分为 CVSS 9.8 分，被归类为“关键”级别。该漏洞（CVE-2020-14343）的利用可能性评分（EPSS）为 14.0%，表明存在切实的利用风险。

问题根源在于 Ansible 2.9.9 版本依赖的 PyYAML 5.3.1 库是一个已知存在漏洞的“直接”依赖项。Ansible 作为广泛用于服务器配置、应用部署和云管理的自动化引擎，其核心功能严重依赖 YAML 文件解析，这使得捆绑的 PyYAML 库成为攻击者潜在的攻击入口。漏洞路径清晰地指向了软件包内的 `/tmp/ws-ua_20260413071212_CEOHJY/python_IFAABR/202604130712131/env/lib/python3.9/site-packages/ansible-2.9.9.dist-info` 目录。

尽管修复版本（PyYAML 5.4）已可用，且扫描报告明确标注“修复可用”，但大量仍在使用 Ansible 2.9.9 这一旧版本的企业环境可能尚未升级。这为攻击者利用该关键漏洞入侵自动化控制节点、进而渗透整个 IT 资产链创造了条件。该事件凸显了在复杂软件供应链中，即使是一个底层依赖库的漏洞，也可能对依赖其的上游关键基础设施工具构成广泛威胁，迫使运维和安全团队紧急审查其 Ansible 部署版本与依赖项状态。