CVSS: 4.4EPSS: 0%CPEs: 2EXPL: 0CVE-2014-3251
https://notcve.org/view.php?id=CVE-2014-3251
The MCollective aes_security plugin, as used in Puppet Enterprise before 3.3.0 and Mcollective before 2.5.3, does not properly validate new server certificates based on the CA certificate, which allows local users to establish unauthorized Mcollective connections via unspecified vectors related to a race condition. El plugin MCollective aes_security, utilizado en Puppet Enterprise anterior a 3.3.0 y Mcollective anterior a 2.5.3, no valida debidamente los certificados de servidores nuevos basado en el certificado CA, lo que permite a usuarios locales establecer conexiones Mcollective no autorizadas a través de vectores no especificados relacionados con una condición de carrera. • http://puppetlabs.com/security/cve/cve-2014-3251 http://secunia.com/advisories/59356 http://secunia.com/advisories/60066 http://www.osvdb.org/109257 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 5.0EPSS: 0%CPEs: 7EXPL: 0CVE-2014-3249
https://notcve.org/view.php?id=CVE-2014-3249
Puppet Enterprise 2.8.x before 2.8.7 allows remote attackers to obtain sensitive information via vectors involving hiding and unhiding nodes. Puppet Enterprise 2.8.x anterior a 2.8.7 permite a atacantes remotos obtener información sensible a través de vectores involucrando nodos ocultos y visibles. • http://puppetlabs.com/security/cve/cve-2014-3249 http://secunia.com/advisories/59197 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 6EXPL: 0CVE-2013-1399
https://notcve.org/view.php?id=CVE-2013-1399
Multiple cross-site request forgery (CSRF) vulnerabilities in the (1) node request management, (2) live management, and (3) user administration components in the console in Puppet Enterprise (PE) before 2.7.1 allow remote attackers to hijack the authentication of unspecified victims via unknown vectors. Múltiples vulnerabilidades de CSRF en los componentes (1) gestión de solicitudes de nodo, (2) gestión viva y (3) administración de usuario en la consola en Puppet Enterprise (PE) anterior a 2.7.1 permiten a atacantes remotos secuestrar la autenticación de víctimas no especificadas a través de vectores desconocidos. • https://puppetlabs.com/security/cve/cve-2013-1399 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.8EPSS: 0%CPEs: 14EXPL: 0CVE-2013-4963
https://notcve.org/view.php?id=CVE-2013-4963
Multiple cross-site request forgery (CSRF) vulnerabilities in Puppet Enterprise (PE) before 3.0.1 allow remote attackers to hijack the authentication of users for requests that deleting a (1) report, (2) group, or (3) class or possibly have other unspecified impact. Múltiples vulnerabilidades de CSRF en Puppet Enterprise (PE) anterior a 3.0.1 permiten a atacantes remotos secuestrar la autenticación de usuarios para solicitudes que mediante la eliminación de (1) un informe, (2) un grupo o (3) una clase o posiblemente tener otro impacto no especificado. • http://puppetlabs.com/security/cve/cve-2013-4963 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.5EPSS: 0%CPEs: 6EXPL: 0CVE-2013-1398
https://notcve.org/view.php?id=CVE-2013-1398
The pe_mcollective module in Puppet Enterprise (PE) before 2.7.1 does not properly restrict access to a catalog of private SSL keys, which allows remote authenticated users to obtain sensitive information and gain privileges by leveraging root access to a node, related to the master role. El módulo pe_mcollective en Puppet Enterprise (PE) anterior a 2.7.1 no restringe debidamente acceso al catálogo de claves privadas de SSL, lo que permite a usuarios remotos autenticados obtener información sensible y ganar privilegios mediante el aprovechamiento de un acceso root hacia un nodo, relacionado con el rol maestro. • http://puppetlabs.com/security/cve/cve-2013-1398 • CWE-310: Cryptographic Issues •