CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2024-4812 – Katello: potential cross-site scripting exploit in ui
https://notcve.org/view.php?id=CVE-2024-4812
05 Jun 2024 — A flaw was found in the Katello plugin for Foreman, where it is possible to store malicious JavaScript code in the "Description" field of a user. This code can be executed when opening certain pages, for example, Host Collections. Se encontró una falla en el complemento Katello para Foreman, donde es posible almacenar código JavaScript malicioso en el campo "Descripción" de un usuario. Este código se puede ejecutar al abrir determinadas páginas, por ejemplo, Colecciones de hosts. • https://access.redhat.com/security/cve/CVE-2024-4812 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2013-4201
https://notcve.org/view.php?id=CVE-2013-4201
01 May 2018 — Katello allows remote authenticated users to call the "system remove_deletion" CLI command via vectors related to "remove system" permissions. Katello permite que usuarios autenticados remotos llamen al comando de la interfaz de línea de comandos "system remove_deletion" mediante vectores relacionados con los permisos "remove system". • https://bugzilla.redhat.com/show_bug.cgi?id=991318 • CWE-275: Permission Issues •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2016-3072 – Katello: Authenticated sql injection via sort_by and sort_order request parameter
https://notcve.org/view.php?id=CVE-2016-3072
17 May 2016 — Multiple SQL injection vulnerabilities in the scoped_search function in app/controllers/katello/api/v2/api_controller.rb in Katello allow remote authenticated users to execute arbitrary SQL commands via the (1) sort_by or (2) sort_order parameter. Múltiples vulnerabilidades de inyección SQL en la función scoped_search en app/controllers/katello/api/v2/api_controller.rb en Katello permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través de parámetro (1) sort_by o (2) sort_order. An ... • https://access.redhat.com/errata/RHSA-2016:1083 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 2CVE-2014-3712
https://notcve.org/view.php?id=CVE-2014-3712
03 Nov 2014 — Katello allows remote attackers to cause a denial of service (memory consumption) via the (1) mode parameter in the setup_utils function in content_search_controller.rb or (2) action parameter in the respond function in api/api_controller.rb in app/controllers/katello/, which is passed to the to_sym method. Katello, permite a los atacantes remotos causar una denegación de servicio (consumo de memoria) por medio del (1) parámetro mode en la función setup_utils en el archivo content_search_controller.rb o (2)... • http://seclists.org/oss-sec/2014/q4/419 • CWE-399: Resource Management Errors •
CVSS: 5.5EPSS: 0%CPEs: 17EXPL: 1CVE-2013-4455
https://notcve.org/view.php?id=CVE-2013-4455
14 May 2014 — Katello Installer before 0.0.18 uses world-readable permissions for /etc/pki/tls/private/katello-node.key when deploying a child Pulp node, which allows local users to obtain the private key by reading the file. Katello Installer anterior a 0.0.18 utiliza permisos de lectura universal para /etc/pki/tls/private/katello-node.key cuando despliega un nodo hijo Pulp, lo que permite a usuarios locales obtener la clave privada mediante la lectura del archivo. • https://bugzilla.redhat.com/show_bug.cgi?id=1021784 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2012-5561 – Katello: /etc/katello/secure/passphrase is world readable
https://notcve.org/view.php?id=CVE-2012-5561
01 Mar 2013 — script/katello-generate-passphrase in Katello 1.1 uses world-readable permissions for /etc/katello/secure/passphrase, which allows local users to obtain the passphrase by reading the file. script/katello-generate-passphrase en Katello v1.1 usa permisos de lectura para todo el mundo para /etc/katello/secure/passphrase, que permite a usuarios locales obtener la contraseña leyendo el fichero. • http://rhn.redhat.com/errata/RHSA-2013-0544.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2012-6116 – Candlepin: bootstrap RPM deploys CA certificate file with mode 666
https://notcve.org/view.php?id=CVE-2012-6116
01 Mar 2013 — modules/certs/manifests/config.pp in katello-configure before 1.3.3.pulpv2 in Katello uses weak permissions (666) for the Candlepin bootstrap RPM, which allows local users to modify the Candlepin CA certificate by writing to this file. modules/certs/manifests/config.pp en katello-configure antes de v1.3.3.pulpv2 en Katello usa permisos débiles (666) para el Candlepin bootstrap RPM, que permite a usuarios locales modificar el certificado CA Candlepin escribiendo en este fichero. • http://rhn.redhat.com/errata/RHSA-2013-0547.html • CWE-264: Permissions, Privileges, and Access Controls •