CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-35453
https://notcve.org/view.php?id=CVE-2020-35453
17 Dec 2020 — HashiCorp Vault Enterprise’s Sentinel EGP policy feature incorrectly allowed requests to be processed in parent and sibling namespaces. Fixed in 1.5.6 and 1.6.1. La funcionalidad de la política Sentinel EGP de HashiCorp Vault Enterprise, permitía incorrectamente peticiones a ser procesadas en los espacios de nombres de parent y sibling. Corregido en versiones 1.5.6 y 1.6.1 • https://discuss.hashicorp.com/t/hcsec-2020-24-vault-enterprise-s-sentinel-egp-policies-may-impact-parent-or-sibling-namespaces/18983 •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-35177
https://notcve.org/view.php?id=CVE-2020-35177
17 Dec 2020 — HashiCorp Vault and Vault Enterprise 1.4.1 and newer allowed the enumeration of users via the LDAP auth method. Fixed in 1.5.6 and 1.6.1. HashiCorp Vault y Vault Enterprise 1.4.1 y más recientes permitieron la enumeración de usuarios por medio del método de autenticación LDAP. Corregido en versiones 1.5.6 y 1.6.1 • https://discuss.hashicorp.com/t/hcsec-2020-25-vault-s-ldap-auth-method-allows-user-enumeration/18984 • CWE-209: Generation of Error Message Containing Sensitive Information •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2020-35192
https://notcve.org/view.php?id=CVE-2020-35192
17 Dec 2020 — The official vault docker images before 0.11.6 contain a blank password for a root user. System using the vault docker container deployed by affected versions of the docker image may allow a remote attacker to achieve root access with a blank password. Las imágenes de docker de official vault versiones anteriores a 0.11.6, contienen una contraseña en blanco para un usuario root. El sistema que usa el contenedor de docker vault implementado por unas versiones afectadas de la imagen de docker puede permi... • https://github.com/koharin/koharin2/blob/main/CVE-2020-35192 • CWE-306: Missing Authentication for Critical Function •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29564
https://notcve.org/view.php?id=CVE-2020-29564
08 Dec 2020 — The official Consul Docker images 0.7.1 through 1.4.2 contain a blank password for a root user. System using the Consul Docker container deployed by affected versions of the Docker image may allow a remote attacker to achieve root access with a blank password. Las imágenes oficiales de Docker Consul versiones 0.7.1 hasta 1.4.2, contienen una contraseña en blanco para un usuario root. El sistema que utiliza el contenedor Consul Docker implementado por las versiones afectadas de la imagen de Docker puede... • https://github.com/koharin/koharin2/blob/main/CVE-2020-29564 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2020-29529 – go-slug: partial protection against zip slip attacks
https://notcve.org/view.php?id=CVE-2020-29529
03 Dec 2020 — HashiCorp go-slug up to 0.4.3 did not fully protect against directory traversal while unpacking tar archives, and protections could be bypassed with specific constructions of multiple symlinks. Fixed in 0.5.0. HashiCorp go-slug hasta la versión 0.4.3 no protegía completamente contra el cruce de directorios al desempaquetar archivos tar, y las protecciones podían ser eludidas con construcciones específicas de múltiples enlaces simbólicos. Corregido en 0.5.0. Red Hat Advanced Cluster Management for Kubernetes... • https://github.com/hashicorp/go-slug/compare/v0.4.3...v0.5.0 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-28348
https://notcve.org/view.php?id=CVE-2020-28348
24 Nov 2020 — HashiCorp Nomad and Nomad Enterprise 0.9.0 up to 0.12.7 client Docker file sandbox feature may be subverted when not explicitly disabled or when using a volume mount type. Fixed in 0.12.8, 0.11.7, and 0.10.8. HashiCorp Nomad y Nomad Enterprise versiones 0.9.0 hasta 0.12.7, La funcionalidad sandbox del archivo Docker del cliente puede subvertirse cuando no se deshabilita explícitamente o cuando se usa un tipo de montaje de volumen. Corregido en versiones 0.12.8, 0.11.7 y 0.10.8 • https://github.com/hashicorp/nomad/blob/master/CHANGELOG.md#0128-november-10-2020 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-28053 – Gentoo Linux Security Advisory 202208-09
https://notcve.org/view.php?id=CVE-2020-28053
23 Nov 2020 — HashiCorp Consul and Consul Enterprise 1.2.0 up to 1.8.5 allowed operators with operator:read ACL permissions to read the Connect CA private key configuration. Fixed in 1.6.10, 1.7.10, and 1.8.6. HashiCorp Consul y Consul Enterprise versiones 1.2.0 hasta 1.8.5, permitieron a operadores con operador: leer unos permisos ACL para leer la configuración de la clave privada de Connect CA. Corregido en versiones 1.6.10, 1.7.10 y 1.8.6 Multiple vulnerabilities have been discovered in HashiCorp Consul, the wors... • https://github.com/hashicorp/consul/blob/master/CHANGELOG.md#186-november-19-2020 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-25201 – Gentoo Linux Security Advisory 202208-09
https://notcve.org/view.php?id=CVE-2020-25201
04 Nov 2020 — HashiCorp Consul Enterprise version 1.7.0 up to 1.8.4 includes a namespace replication bug which can be triggered to cause denial of service via infinite Raft writes. Fixed in 1.7.9 and 1.8.5. HashiCorp Consul Enterprise versiones 1.7.0 hasta 1.8.4, incluye un error de replicación de espacio de nombres que puede ser activado para causar una denegación de servicio por medio de escrituras Raft infinitas. Corregido en versiones 1.7.9 y 1.8.5 Multiple vulnerabilities have been discovered in HashiCorp Consu... • https://github.com/hashicorp/consul/blob/master/CHANGELOG.md#185-october-23-2020 •
CVSS: 9.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-27195
https://notcve.org/view.php?id=CVE-2020-27195
22 Oct 2020 — HashiCorp Nomad and Nomad Enterprise version 0.9.0 up to 0.12.5 client file sandbox feature can be subverted using either the template or artifact stanzas. Fixed in 0.12.6, 0.11.5, and 0.10.6 HashiCorp Nomad y Nomad Enterprise versiones 0.9.0 hasta 0.12.5, la funcionalidad client file sandbox puede ser subvertido usando la plantilla o estrofas de artefacto. Corregido en las versiones 0.12.6, 0.11.5 y 0.10.6 • https://github.com/hashicorp/nomad/blob/master/CHANGELOG.md#0126-october-21-2020 •
CVSS: 6.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25816
https://notcve.org/view.php?id=CVE-2020-25816
30 Sep 2020 — HashiCorp Vault and Vault Enterprise versions 1.0 and newer allowed leases created with a batch token to outlive their TTL because expiration time was not scheduled correctly. Fixed in 1.4.7 and 1.5.4. Las versiones 1.0 y posteriores de HashiCorp Vault y Vault Enterprise permitían que los contratos de arrendamiento creados con un testigo de lote sobrevivieran a su TTL porque el tiempo de caducidad no estaba programado correctamente. Corregido en las versiones 1.4.7 y 1.5.4 • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#154 •