CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2021-36780 – Unauthorized data access from replicas through vulnerable instance manager pods
https://notcve.org/view.php?id=CVE-2021-36780
A Missing Authentication for Critical Function vulnerability in longhorn of SUSE Longhorn allows attackers to connect to a longhorn-engine replica instance granting it the ability to read and write data to and from a replica that they should not have access to. This issue affects: SUSE Longhorn longhorn versions prior to 1.1.3; longhorn versions prior to 1.2.3v. Una vulnerabilidad de falta de autenticación para funciones críticas en longhorn de SUSE Longhorn permite a los atacantes conectarse a una instancia de réplica de longhorn-engine otorgándole la capacidad de leer y escribir datos en y desde una réplica a la que no deberían tener acceso. Este problema afecta a: Las versiones de SUSE Longhorn anteriores a la 1.1.3; las versiones de Longhorn anteriores a la 1.2.3v • https://bugzilla.suse.com/show_bug.cgi?id=1191819 https://github.com/longhorn/longhorn/security/advisories/GHSA-g358-m2wp-mhhx • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.6EPSS: 0%CPEs: 2EXPL: 0CVE-2021-36779 – Host operations allowed in privileged Longhorn managed pods
https://notcve.org/view.php?id=CVE-2021-36779
A Missing Authentication for Critical Function vulnerability in SUSE Longhorn allows any workload in the cluster to execute any binary present in the image on the host without authentication. This issue affects: SUSE Longhorn longhorn versions prior to 1.1.3; longhorn versions prior to 1.2.3. Una vulnerabilidad de falta de autenticación para funciones críticas en SUSE Longhorn permite que cualquier carga de trabajo en el clúster ejecute cualquier binario presente en la imagen del host sin autenticación. Este problema afecta a: Las versiones de SUSE Longhorn anteriores a la 1.1.3; las versiones de Longhorn anteriores a la 1.2.3 • https://bugzilla.suse.com/show_bug.cgi?id=1191818 https://github.com/longhorn/longhorn/security/advisories/GHSA-g358-m2wp-mhhx • CWE-306: Missing Authentication for Critical Function •