CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10944
https://notcve.org/view.php?id=CVE-2020-10944
28 Apr 2020 — HashiCorp Nomad and Nomad Enterprise up to 0.10.4 contained a cross-site scripting vulnerability such that files from a malicious workload could cause arbitrary JavaScript to execute in the web UI. Fixed in 0.10.5. HashiCorp Nomad y Nomad Enterprise versiones hasta 0.10.4, contenían una vulnerabilidad de tipo cross-site scripting tal que los archivos de una carga de trabajo maliciosa podía causar que un JavaScript arbitrario se ejecutara en la Interfaz de Usuario web. Corregido en la versión 0.10.5. • https://github.com/hashicorp/nomad/issues/7468 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10661
https://notcve.org/view.php?id=CVE-2020-10661
23 Mar 2020 — HashiCorp Vault and Vault Enterprise versions 0.11.0 through 1.3.3 may, under certain circumstances, have existing nested-path policies grant access to Namespaces created after-the-fact. Fixed in 1.3.4. HashiCorp Vault y Vault Enterprise versiones 0.11.0 hasta 1.3.3, pueden bajo determinadas circunstancias, presentar políticas de ruta anidadas existentes que otorguen acceso a unos Espacios de Nombres después de los datos creados. Corregido en versión 1.3.4. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#134-march-19th-2020 •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10660
https://notcve.org/view.php?id=CVE-2020-10660
23 Mar 2020 — HashiCorp Vault and Vault Enterprise versions 0.9.0 through 1.3.3 may, under certain circumstances, have an Entity's Group membership inadvertently include Groups the Entity no longer has permissions to. Fixed in 1.3.4. HashiCorp Vault y Vault Enterprise versiones 0.9.0 hasta 1.3.3, pueden bajo determinadas circunstancias, presentar una membresía Entity's Group que inadvertidamente incluye Grupos a los que la Entidad ya no tiene permiso. Corregido en 1.3.4. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#134-march-19th-2020 • CWE-276: Incorrect Default Permissions •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-19879
https://notcve.org/view.php?id=CVE-2019-19879
14 Feb 2020 — HashiCorp Sentinel up to 0.10.1 incorrectly parsed negation in certain policy expressions. Fixed in 0.10.2. HashiCorp Sentinel versiones hasta 0.10.1, analizó incorrectamente la negación en determinadas expresiones de la política. Corregido en la versión 0.10.2. • https://discuss.hashicorp.com/t/security-bulletin-sentinel-incorrectly-parses-negation-in-certain-policy-expressions/5955 •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7956
https://notcve.org/view.php?id=CVE-2020-7956
31 Jan 2020 — HashiCorp Nomad and Nomad Enterprise up to 0.10.2 incorrectly validated role/region associated with TLS certificates used for mTLS RPC, and were susceptible to privilege escalation. Fixed in 0.10.3. HashiCorp Nomad and Nomad Enterprise versiones hasta 0.10.2, validó incorrectamente rol y región asociado con certificados TLS usados para mTLS RPC, y fueron susceptibles a una escalada de privilegios. Corregido en versión 0.10.3. • https://github.com/hashicorp/nomad/issues/7003 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7219
https://notcve.org/view.php?id=CVE-2020-7219
31 Jan 2020 — HashiCorp Consul and Consul Enterprise up to 1.6.2 HTTP/RPC services allowed unbounded resource usage, and were susceptible to unauthenticated denial of service. Fixed in 1.6.3. HashiCorp Consul and Consul Enterprise versiones hasta 1.6.2. Los servicios HTTP/RPC permitieron un uso de recursos ilimitado y fueron susceptibles a una denegación de servicio no autenticada. Corregido en versión 1.6.3. • https://github.com/hashicorp/consul/issues/7159 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7218
https://notcve.org/view.php?id=CVE-2020-7218
31 Jan 2020 — HashiCorp Nomad and Nonad Enterprise up to 0.10.2 HTTP/RPC services allowed unbounded resource usage, and were susceptible to unauthenticated denial of service. Fixed in 0.10.3. Los servicios HashiCorp Nomad y Nonad Enterprise hasta la versión 0.10.2 HTTP/RPC permitían un uso ilimitado de los recursos, y eran susceptibles de una denegación de servicio no autenticada. Corregido en la versión 0.10.3 • https://github.com/hashicorp/nomad/issues/7002 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7955
https://notcve.org/view.php?id=CVE-2020-7955
31 Jan 2020 — HashiCorp Consul and Consul Enterprise 1.4.1 through 1.6.2 did not uniformly enforce ACLs across all API endpoints, resulting in potential unintended information disclosure. Fixed in 1.6.3. HashiCorp Consul and Consul Enterprise versiones 1.4.1 hasta 1.6.2, no aplicaron uniformemente la ACL a través de todos los endpoints de la API, resultando en una potencial divulgación de información involuntaria. Corregido en versión 1.6.3. • https://github.com/hashicorp/consul/issues/7160 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-7220
https://notcve.org/view.php?id=CVE-2020-7220
23 Jan 2020 — HashiCorp Vault Enterprise 0.11.0 through 1.3.1 fails, in certain circumstances, to revoke dynamic secrets for a mount in a deleted namespace. Fixed in 1.3.2. HashiCorp Vault Enterprise versiones 0.11.0 hasta 1.3.1 presenta un fallo, en determinadas circunstancias, al revocar secretos dinámicos para un montaje en un espacio de nombres eliminado. Corregido en versión 1.3.2. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#132-january-22nd-2020 • CWE-404: Improper Resource Shutdown or Release •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19316
https://notcve.org/view.php?id=CVE-2019-19316
02 Dec 2019 — When using the Azure backend with a shared access signature (SAS), Terraform versions prior to 0.12.17 may transmit the token and state snapshot using cleartext HTTP. Cuando se usa el backend de Azure con una firma de acceso compartida (SAS), Terraform versiones anteriores a 0.12.17 pueden transmitir el token y la imagen instantánea de estado utilizando HTTP en texto sin cifrar. • https://github.com/hashicorp/terraform/security/advisories/GHSA-4rvg-555h-r626 • CWE-319: Cleartext Transmission of Sensitive Information •