CVSS: 7.2EPSS: 0%CPEs: 12EXPL: 0CVE-2018-1262
https://notcve.org/view.php?id=CVE-2018-1262
Cloud Foundry Foundation UAA, versions 4.12.X and 4.13.X, introduced a feature which could allow privilege escalation across identity zones for clients performing offline validation. A zone administrator could configure their zone to issue tokens which impersonate another zone, granting up to admin privileges in the impersonated zone for clients performing offline token validation. Cloud Foundry Foundation UAA, en versiones 4.12.X y 4.13.X, introdujo una característica que podría permitir el escalado de privilegios en zonas de identidad para clientes que realizan validación offline. Un administrador de zona podría configurar su zona para enviar tokens que suplanten otra zona, otorgando hasta privilegios de administrador en la zona suplantada a clientes que realizan la validación offline de tokens. • https://www.cloudfoundry.org/blog/cve-2018-1262 •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1278
https://notcve.org/view.php?id=CVE-2018-1278
Apps Manager included in Pivotal Application Service, versions 1.12.x prior to 1.12.22, 2.0.x prior to 2.0.13, and 2.1.x prior to 2.1.4 contains an authorization enforcement vulnerability. A member of any org is able to create invitations to any org for which the org GUID can be discovered. Accepting this invitation gives unauthorized access to view the member list, domains, quotas and other information about the org. Apps Manager en Pivotal Application Service, en versiones 1.12.x anteriores a la 1.12.22, versiones 2.0.x anteriores a la 2.0.13 y versiones 2.1.x anteriores a la 2.1.4, contiene una vulnerabilidad de imposición de autorización. Un miembro de cualquier org puede crear invitaciones a cualquier org para la cual se puede descubrir la GUID de esta. • http://www.securityfocus.com/bid/104227 https://pivotal.io/security/cve-2018-1278 • CWE-863: Incorrect Authorization •
CVSS: 9.8EPSS: 4%CPEs: 4EXPL: 0CVE-2018-1260 – spring-security-oauth: remote code execution in the authorization process
https://notcve.org/view.php?id=CVE-2018-1260
Spring Security OAuth, versions 2.3 prior to 2.3.3, 2.2 prior to 2.2.2, 2.1 prior to 2.1.2, 2.0 prior to 2.0.15 and older unsupported versions contains a remote code execution vulnerability. A malicious user or attacker can craft an authorization request to the authorization endpoint that can lead to remote code execution when the resource owner is forwarded to the approval endpoint. Spring Security OAuth, en versiones 2.3 anteriores a la 2.3.3, versiones 2.2 anteriores a la 2.2.2, versiones 2.1 anteriores a la 2.1.2, versiones 2.0 anteriores a la 2.0.15 y versiones anteriores no soportadas, contiene una vulnerabilidad de ejecución remota de código. Un usuario o atacante malicioso puede manipular una petición de autorización al endpoint de autorización que puede conducir a la ejecución remota de código cuando el propietario del recurso se reenvía al endpoint de aprobación. • http://www.securityfocus.com/bid/104158 https://access.redhat.com/errata/RHSA-2018:1809 https://access.redhat.com/errata/RHSA-2018:2939 https://pivotal.io/security/cve-2018-1260 https://access.redhat.com/security/cve/CVE-2018-1260 https://bugzilla.redhat.com/show_bug.cgi?id=1584376 • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-267: Privilege Defined With Unsafe Actions •
CVSS: 8.8EPSS: 0%CPEs: 81EXPL: 0CVE-2018-1258 – spring-security-core: Unauthorized Access with Spring Security Method Security
https://notcve.org/view.php?id=CVE-2018-1258
Spring Framework version 5.0.5 when used in combination with any versions of Spring Security contains an authorization bypass when using method security. An unauthorized malicious user can gain unauthorized access to methods that should be restricted. La versión 5.0.5 de Spring Framework, cuando se utiliza en combinación con cualquier versión de Spring Security, contiene un omisión de autorización cuando se utiliza la seguridad del método. Un usuario malicioso no autorizado puede obtener acceso no autorizado a métodos que deben ser restringidos. • http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html http://www.securityfocus.com/bid/104222 http://www.securitytracker.com/id/1041888 http://www.securitytracker.com/id/1041896 https://access.redhat.com/errata/RHSA-2019:2413 https://pivotal.io/security/cve-2018-1258 https://security.netapp.com/advisory/ntap-20181018-0002 https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle& • CWE-287: Improper Authentication CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 1CVE-2018-1259 – spring-data-commons: XXE with Spring Data’s XMLBeam integration
https://notcve.org/view.php?id=CVE-2018-1259
Spring Data Commons, versions 1.13 prior to 1.13.12 and 2.0 prior to 2.0.7, used in combination with XMLBeam 1.4.14 or earlier versions, contains a property binder vulnerability caused by improper restriction of XML external entity references as underlying library XMLBeam does not restrict external reference expansion. An unauthenticated remote malicious user can supply specially crafted request parameters against Spring Data's projection-based request payload binding to access arbitrary files on the system. Spring Data Commons, en versiones 1.13 anteriores a la 1.13.12 y versiones 2.0 anteriores a la 2.0.7, empleado junto con XMLBeam, en versiones 1.4.14 o anteriores, contiene una vulnerabilidad de enlazador de propiedades provocada por la restricción incorrecta de referencias de entidades externas XML, ya que la biblioteca subyacente XMLBeam no restringe la expansión de referencias externas. Un usuario remoto malicioso no autenticado puede proporcionar parámetros de petición especialmente manipulados al enlace de la carga útil de petición basada en proyección de Spring Data para acceder a archivos arbitrarios en el sistema. • https://github.com/tafamace/CVE-2018-1259 https://access.redhat.com/errata/RHSA-2018:1809 https://access.redhat.com/errata/RHSA-2018:3768 https://pivotal.io/security/cve-2018-1259 https://www.oracle.com/security-alerts/cpujul2022.html https://access.redhat.com/security/cve/CVE-2018-1259 https://bugzilla.redhat.com/show_bug.cgi?id=1578902 • CWE-611: Improper Restriction of XML External Entity Reference •