CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12618
https://notcve.org/view.php?id=CVE-2019-12618
12 Aug 2019 — HashiCorp Nomad 0.9.0 through 0.9.1 has Incorrect Access Control via the exec driver. HashiCorp Nomad versión 0.9.0 a 0.9.1 tiene un control de acceso incorrecto a través del exec driver. • https://github.com/hashicorp/nomad/issues/5783 • CWE-269: Improper Privilege Management •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12291
https://notcve.org/view.php?id=CVE-2019-12291
06 Jun 2019 — HashiCorp Consul 1.4.0 through 1.5.0 has Incorrect Access Control. Keys not matching a specific ACL rule used for prefix matching in a policy can be deleted by a token using that policy even with default deny settings configured. HashiCorp Consul 1.4.0 through 1.5.0 tiene accesos de control incorrectos, Las claves que no coinciden con una regla de ACL específica utilizada para la coincidencia de prefijos en una política se pueden eliminar con un token que usa esa política incluso con la configuración predet... • https://github.com/hashicorp/consul/issues/5888 •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 1CVE-2019-9764
https://notcve.org/view.php?id=CVE-2019-9764
26 Mar 2019 — HashiCorp Consul 1.4.3 lacks server hostname verification for agent-to-agent TLS communication. In other words, the product behaves as if verify_server_hostname were set to false, even when it is actually set to true. This is fixed in 1.4.4. HashiCorp Consul 1.4.3 carece de la verificación de nombres de host para las comunicaciones TLS de agente a agente. En otras palabras, el producto se comporta como si verify_server_hostname estuviese configurado como "false", aunque en realidad lo esté como "true". • https://github.com/hashicorp/consul/issues/5519 • CWE-346: Origin Validation Error •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-8336
https://notcve.org/view.php?id=CVE-2019-8336
05 Mar 2019 — HashiCorp Consul (and Consul Enterprise) 1.4.x before 1.4.3 allows a client to bypass intended access restrictions and obtain the privileges of one other arbitrary token within secondary datacenters, because a token with literally "
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2018-19653
https://notcve.org/view.php?id=CVE-2018-19653
09 Dec 2018 — HashiCorp Consul 0.5.1 through 1.4.0 can use cleartext agent-to-agent RPC communication because the verify_outgoing setting is improperly documented. NOTE: the vendor has provided reconfiguration steps that do not require a software upgrade. HashiCorp Consul, de la versión 0.5.1 a la 1.4.0, puede emplear comunicaciones RPC de agente a agente en texto claro debido a que la opción verify_outgoing setting está mal documentada. NOTA: el fabricante ha proporcionado instrucciones de reconfiguración que no requier... • https://github.com/hashicorp/consul/pull/5069 • CWE-310: Cryptographic Issues •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-19786
https://notcve.org/view.php?id=CVE-2018-19786
05 Dec 2018 — HashiCorp Vault before 1.0.0 writes the master key to the server log in certain unusual or misconfigured scenarios in which incorrect data comes from the autoseal mechanism without an error being reported. HashiCorp Vault en versiones anteriores a la 1.0.0 escribe la clave maestra en el registro del servidor en ciertos escenarios inusuales o mal configurados, en los cuales los datos incorrectos provienen del mecanismo de autosellado sin que se reporte un error. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#100-december-3rd-2018 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15869
https://notcve.org/view.php?id=CVE-2018-15869
25 Aug 2018 — An Amazon Web Services (AWS) developer who does not specify the --owners flag when describing images via AWS CLI, and therefore not properly validating source software per AWS recommended security best practices, may unintentionally load an undesired and potentially malicious Amazon Machine Image (AMI) from the uncurated public community AMI catalog. Un desarrollador de Amazon Web Services (AWS) que no especifica la marca --owners al describir imágenes mediante la interfaz de línea de comandos de AWS y que,... • http://www.securityfocus.com/bid/105172 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.0EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16839
https://notcve.org/view.php?id=CVE-2017-16839
29 Mar 2018 — Hashicorp vagrant-vmware-fusion 5.0.4 allows local users to steal root privileges if VMware Fusion is not installed. Hashicorp vagrant-vmware-fusion 5.0.4 permite que usuarios locales roben privilegios root si VMware Fusion no está instalado. • https://m4.rkw.io/blog/cve201716839-hashicorp-vagrantvmwarefusion-v504-local-root.html •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16873
https://notcve.org/view.php?id=CVE-2017-16873
29 Mar 2018 — It is possible to exploit an unsanitized PATH in the suid binary that ships with vagrant-vmware-fusion 4.0.25 through 5.0.4 in order to escalate to root privileges. Es posible explotar una ruta sin sanear en el binario suid que se distribuye con vagrant-vmware-fusion, de la versión 4.0.25 a la 5.0.4, para escalar a privilegios root. • https://m4.rkw.io/blog/cve201716873-hashicorp-vagrantvmwarefusion-v4025504-local-root.html •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16512
https://notcve.org/view.php?id=CVE-2017-16512
29 Mar 2018 — The vagrant update process in Hashicorp vagrant-vmware-fusion 5.0.2 through 5.0.4 allows local users to steal root privileges via a crafted update request when no updates are available. El proceso de actualización vagrant en Hashicorp vagrant-vmware-fusion, de la versión 5.0.2 a la 5.0.4, permite que usuarios locales roben privilegios root mediante una petición manipulada de actualización cuando no hay ninguna actualización disponible. • https://m4.rkw.io/blog/cve201716512-hashicorp-vagrantvmwarefusion-v502504-local-root.html • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •