CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-31818
https://notcve.org/view.php?id=CVE-2021-31818
Affected versions of Octopus Server are prone to an authenticated SQL injection vulnerability in the Events REST API because user supplied data in the API request isn’t parameterised correctly. Exploiting this vulnerability could allow unauthorised access to database tables. Unas versiones afectadas de Octopus Server son propensas a una vulnerabilidad de inyección SQL autenticada en la interfaz Events REST API porque los datos suministrados por el usuario en la petición de la API no están parametrizados correctamente. Una explotación de esta vulnerabilidad podría permitir un acceso no autorizado a las tablas de la base de datos • https://advisories.octopus.com/adv/2021-04---SQL-Injection-in-the-Events-REST-API-%28CVE-2021-31818%29.2013233248.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-30183
https://notcve.org/view.php?id=CVE-2021-30183
Cleartext storage of sensitive information in multiple versions of Octopus Server where in certain situations when running import or export processes, the password used to encrypt and decrypt sensitive values would be written to the logs in plaintext. Un almacenamiento de texto sin cifrar de información confidencial en múltiples versiones de Octopus Server, donde en determinadas situaciones cuando se ejecutan procesos de importación o exportación, la contraseña usada para cifrar y descifrar valores confidenciales se escribiría en los registros en texto plano • https://advisories.octopus.com/adv/2021-03---Cleartext-Storage-of-Sensitive-Information-%28CVE-2021-30183%29.1817083941.html https://github.com/OctopusDeploy/Issues • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 6.2EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21270 – Cleartext Storage of Sensitive Information
https://notcve.org/view.php?id=CVE-2021-21270
OctopusDSC is a PowerShell module with DSC resources that can be used to install and configure an Octopus Deploy Server and Tentacle agent. In OctopusDSC version 4.0.977 and earlier a customer API key used to connect to Octopus Server is exposed via logging in plaintext. This vulnerability is patched in version 4.0.1002. OctopusDSC es un módulo de PowerShell con recursos de DSC, que se puede utilizar para instalar y configurar un agente de Octopus Deploy Server and Tentacle. En OctopusDSC versión 4.0.977 y anteriores, una clave de la API del cliente usada para conectarse a Octopus Server es expuesta mediante el inicio de sesión en texto plano. • https://github.com/OctopusDeploy/OctopusDSC/commit/24b448e6ac964ed938475add494a145c0473ac42 https://github.com/OctopusDeploy/OctopusDSC/pull/270 https://github.com/OctopusDeploy/OctopusDSC/releases/tag/v4.0.1002 https://github.com/OctopusDeploy/OctopusDSC/security/advisories/GHSA-phmm-rfg9-94fm • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-26161
https://notcve.org/view.php?id=CVE-2020-26161
In Octopus Deploy through 2020.4.2, an attacker could redirect users to an external site via a modified HTTP Host header. En Octopus Deploy versiones hasta 2020.4.2, un atacante podría redireccionar a usuarios a un sitio externo por medio de un encabezado HTTP Host modificado • https://github.com/OctopusDeploy https://github.com/OctopusDeploy/Issues/issues/6622 https://github.com/OctopusDeploy/Issues/issues/6627 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-27155
https://notcve.org/view.php?id=CVE-2020-27155
An issue was discovered in Octopus Deploy through 2020.4.4. If enabled, the websocket endpoint may allow an untrusted tentacle host to present itself as a trusted one. Se detectó un problema en Octopus Deploy versiones hasta 2020.4.4. Si está habilitado, el endpoint websocket puede permitir a un host de tentacle no confiable presentarse como uno confiable • https://github.com/OctopusDeploy https://github.com/OctopusDeploy/Issues/issues/6637 https://github.com/OctopusDeploy/Issues/issues/6639 https://github.com/OctopusDeploy/Issues/issues/6640 •