CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-14390
https://notcve.org/view.php?id=CVE-2017-14390
In Cloud Foundry Foundation cf-deployment v0.35.0, a misconfiguration with Loggregator and syslog-drain causes logs to be drained to unintended locations. En Cloud Foundry Foundation cf-deployment v0.35.0, un error de configuración con Loggregator y syslog-drain provoca que los informes se purguen en localizaciones no planeadas. • http://www.securityfocus.com/bid/101972 https://www.cloudfoundry.org/cve-2017-14390 •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-8038
https://notcve.org/view.php?id=CVE-2017-8038
In Cloud Foundry Foundation Credhub-release version 1.1.0, access control lists (ACLs) enforce whether an authenticated user can perform an operation on a credential. For installations using ACLs, the ACL was bypassed for the CredHub interpolate endpoint, allowing authenticated applications to view any credential within the CredHub installation. En Cloud Foundry Foundation Credhub-release versión 1.1.0, las listas de control de acceso (ACL) se aplican si un usuario autenticado puede realizar una operación en una credencial. Para las instalaciones que emplean ACL, el ACL fue omitido para el extremo interpolado CredHub, permitiendo que aplicaciones autenticadas vean cualquier credencial en la instalación CredHub. • https://www.cloudfoundry.org/cve-2017-8038 •
CVSS: 8.1EPSS: 0%CPEs: 15EXPL: 0CVE-2017-8028 – spring-ldap: Authentication with userSearch and STARTTLS allows authentication with arbitrary password
https://notcve.org/view.php?id=CVE-2017-8028
In Pivotal Spring-LDAP versions 1.3.0 - 2.3.1, when connected to some LDAP servers, when no additional attributes are bound, and when using LDAP BindAuthenticator with org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy as the authentication strategy, and setting userSearch, authentication is allowed with an arbitrary password when the username is correct. This occurs because some LDAP vendors require an explicit operation for the LDAP bind to take effect. En Pivotal Spring-LDAP en versiones 1.3.0 - 2.3.1, al conectarse a algunos servidores LDAP, cuando no se enlazan atributos adicionales y cuando se emplea LDAP BindAuthenticator con org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy como la estrategia de autenticación y configurando userSearch, se permite la autenticación con una contraseña arbitraria cuando el nombre de usuario es correcto. Esto ocurre porque algunos fabricantes LDAP requieren una operación explícita para que el enlace LDAP tenga efecto. A vulnerability was found in spring-ldap that allows an attacker to authenticate with an arbitrary password. • https://access.redhat.com/errata/RHSA-2018:0319 https://lists.debian.org/debian-lts-announce/2017/11/msg00026.html https://pivotal.io/security/cve-2017-8028 https://www.debian.org/security/2017/dsa-4046 https://www.oracle.com/security-alerts/cpujan2021.html https://access.redhat.com/security/cve/CVE-2017-8028 https://bugzilla.redhat.com/show_bug.cgi?id=1510968 • CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 27EXPL: 0CVE-2017-14388
https://notcve.org/view.php?id=CVE-2017-14388
Cloud Foundry Foundation GrootFS release 0.3.x versions prior to 0.30.0 do not validate DiffIDs, allowing specially crafted images to poison the grootfs volume cache. For example, this could allow an attacker to provide an image layer that GrootFS would consider to be the Ubuntu base layer. La distribución GrootFS de Cloud Foundry Foundation GrootFS en versiones 0.3.x anteriores a la 0.30.0 no valida DiffIDs, permitiendo que imágenes especialmente manipuladas dañen la memoria caché del volumen de grootfs. Por ejemplo, esto podría permitir que un atacante proporcione una capa de imagen que GrootFS consideraría que es la capa base de Ubuntu. • https://www.cloudfoundry.org/cve-2017-14388 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2015-5170
https://notcve.org/view.php?id=CVE-2015-5170
Cloud Foundry Runtime cf-release before 216, UAA before 2.5.2, and Pivotal Cloud Foundry (PCF) Elastic Runtime before 1.7.0 allow remote attackers to conduct cross-site request forgery (CSRF) attacks on PWS and log a user into an arbitrary account by leveraging lack of CSRF checks. Cloud Foundry Runtime cf-release en versiones anteriores a la 216, UAA en versiones anteriores a la 2.5.2 y Pivotal Cloud Foundry (PCF) Elastic Runtime en versiones anteriores a la 1.7.0 permite que atacantes remotos realicen ataques Cross-Site Request Forgery (CSRF) en PWS y registren un usuario en una cuenta arbitraria aprovechándose de la falta de chequeos contra CSRF. • http://www.securityfocus.com/bid/101579 https://pivotal.io/security/cve-2015-5170-5173 • CWE-352: Cross-Site Request Forgery (CSRF) •