27 results (0.034 seconds)

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

Cloud Foundry UAA, versions prior to v74.3.0, contains an endpoint that is vulnerable to SCIM injection attack. A remote authenticated malicious user with scim.invite scope can craft a request with malicious content which can leak information about users of the UAA. Cloud Foundry UAA, versiones anteriores a v74.3.0, contiene un endpoint que es vulnerable al ataque de inyección SCIM. Un usuario malicioso autenticado remoto con alcance de scim.invite puede diseñar una petición con contenido malicioso que puede filtrar información sobre los usuarios de la UAA. • https://www.cloudfoundry.org/blog/cve-2019-11282 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 7.5EPSS: 0%CPEs: 9EXPL: 0

Cloud Foundry UAA versions prior to v73.4.0 contain a vulnerability where a malicious client possessing the 'clients.write' authority or scope can bypass the restrictions imposed on clients created via 'clients.write' and create clients with arbitrary scopes that the creator does not possess. Cloud Foundry UAA versiones anteriores a v73.4.0, contienen una vulnerabilidad en la que un cliente malicioso bajo posesión de la autoridad o el alcance "clients.write" puede omitir las restricciones impuestas a los clientes creados por medio de "clients.write" y crear clientes con alcances arbitrarios que no poseen. • https://pivotal.io/security/cve-2019-11270 https://www.cloudfoundry.org/blog/cve-2019-11270 • CWE-269: Improper Privilege Management CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Cloud Foundry UAA, versions prior to v73.4.0, does not set an X-FRAME-OPTIONS header on various endpoints. A remote user can perform clickjacking attacks on UAA's frontend sites. Cloud Foundry UAA, versiones anteriores a v73.4.0, no establece un encabezado X-FRAME-OPTIONS en varios puntos finales. Un usuario remoto puede realizar ataques de clickjacking en los sitios front-end de UAA. • https://www.cloudfoundry.org/blog/cve-2019-3794 • CWE-284: Improper Access Control CWE-1021: Improper Restriction of Rendered UI Layers or Frames •

CVSS: 9.9EPSS: 0%CPEs: 2EXPL: 0

Cloud Foundry UAA release, versions prior to v64.0, and UAA, versions prior to 4.23.0, contains a validation error which allows for privilege escalation. A remote authenticated user may modify the url and content of a consent page to gain a token with arbitrary scopes that escalates their privileges. Cloud Foundry UAA release, en versiones anteriores a la v64.0, y UAA, en versiones anteriores a la 4.23.0, contiene un error de validación que permite el escalado de privilegios. Un usuario autenticado remoto podría modificar la URL y el contenido de una página de consentimiento para obtener un token con alcances arbitrarios que escala sus privilegios. • https://www.cloudfoundry.org/blog/cve-2018-15761 •

CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0

Cloud Foundry Runtime cf-release before 216, UAA before 2.5.2, and Pivotal Cloud Foundry (PCF) Elastic Runtime before 1.7.0 allow remote attackers to conduct cross-site request forgery (CSRF) attacks on PWS and log a user into an arbitrary account by leveraging lack of CSRF checks. Cloud Foundry Runtime cf-release en versiones anteriores a la 216, UAA en versiones anteriores a la 2.5.2 y Pivotal Cloud Foundry (PCF) Elastic Runtime en versiones anteriores a la 1.7.0 permite que atacantes remotos realicen ataques Cross-Site Request Forgery (CSRF) en PWS y registren un usuario en una cuenta arbitraria aprovechándose de la falta de chequeos contra CSRF. • http://www.securityfocus.com/bid/101579 https://pivotal.io/security/cve-2015-5170-5173 • CWE-352: Cross-Site Request Forgery (CSRF) •