5 results (0.004 seconds)

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

The conformance validation endpoint is public so everybody can verify the conformance of onboarded services. The response could contain specific information about the service, including available endpoints, and swagger. It could advise about the running version of a service to an attacker. The attacker could also check if a service is running. El endpoint de validación de conformidad es público, por lo que todos pueden verificar la conformidad de los servicios incorporados. • https://github.com/zowe/api-layer • CWE-312: Cleartext Storage of Sensitive Information •

CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0

The health endpoint is public so everybody can see a list of all services. It is potentially valuable information for attackers. El endpoint de salud es público, por lo que todos pueden ver una lista de todos los servicios. Es información potencialmente valiosa para los atacantes. • https://github.com/zowe/api-layer • CWE-312: Cleartext Storage of Sensitive Information •

CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0

A vulnerability in Zowe CLI allows local, privileged actors to display securely stored properties in cleartext within a terminal using the '--show-inputs-only' flag. Una vulnerabilidad en Zowe CLI permite a actores locales privilegiados mostrar propiedades almacenadas de forma segura en texto plano dentro de una terminal usando el indicador '--show-inputs-only'. • https://github.com/zowe/zowe-cli/packages/imperative •

CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0

A vulnerability in APIML Spring Cloud Gateway which leverages user privileges by unexpected signing proxied request by Zowe's client certificate. This allows access to a user to the endpoints requiring an internal client certificate without any credentials. It could lead to managing components in there and allow an attacker to handle the whole communication including user credentials. Una vulnerabilidad en APIML Spring Cloud Gateway que aprovecha los privilegios del usuario mediante una solicitud de firma inesperada mediante proxy por parte del certificado de cliente de Zowe. Esto permite el acceso de un usuario a los endpoints que requieren un certificado de cliente interno sin ninguna credencial. • https://github.com/zowe/api-layer • CWE-250: Execution with Unnecessary Privileges •

CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0

A vulnerability in Zowe CLI allows local, privileged actors to store previously entered secure credentials in a plaintext file as part of an auto-init operation. Una vulnerabilidad en Zowe CLI permite a actores locales privilegiados almacenar credenciales seguras ingresadas previamente en un archivo de texto plano como parte de una operación de inicio automático. • https://github.com/zowe/zowe-cli •