CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2019-18900 – libzypp stores cookies world readable
https://notcve.org/view.php?id=CVE-2019-18900
: Incorrect Default Permissions vulnerability in libzypp of SUSE CaaS Platform 3.0, SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15 allowed local attackers to read a cookie store used by libzypp, exposing private cookies. This issue affects: SUSE CaaS Platform 3.0 libzypp versions prior to 16.21.2-27.68.1. SUSE Linux Enterprise Server 12 libzypp versions prior to 16.21.2-2.45.1. SUSE Linux Enterprise Server 15 17.19.0-3.34.1. Una vulnerabilidad de Permisos Predeterminados Incorrectos en libzypp de SUSE CaaS Platform versión 3.0, SUSE Linux Enterprise Server versión12, SUSE Linux Enterprise Server versión 15, permitió a atacantes locales leer un almacén de cookies utilizado por libzypp, exponiendo cookies privadas. • http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00036.html https://bugzilla.suse.com/show_bug.cgi?id=1158763 https://lists.debian.org/debian-lts-announce/2020/03/msg00005.html • CWE-276: Incorrect Default Permissions •
CVSS: 8.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-3682 – Insecure API port exposed to all Master Node guest containers
https://notcve.org/view.php?id=CVE-2019-3682
The docker-kubic package in SUSE CaaS Platform 3.0 before 17.09.1_ce-7.6.1 provided access to an insecure API locally on the Kubernetes master node. El paquete docker-kubic en SUSE CaaS Platform versión 3.0 anteriores a 17.09.1_ce-7.6.1, proporcionaba acceso localmente a una API no segura en el nodo maestro de Kubernetes. • https://bugzilla.suse.com/show_bug.cgi?id=1121148 • CWE-668: Exposure of Resource to Wrong Sphere •