CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2017-5654
https://notcve.org/view.php?id=CVE-2017-5654
In Ambari 2.4.x (before 2.4.3) and Ambari 2.5.0, an authorized user of the Ambari Hive View may be able to gain unauthorized read access to files on the host where the Ambari server executes. En Ambari 2.4.x en versiones anteriores a la 2.4.3 y en la versión 2.5.0 de Ambari, un usuario autorizado de Ambari Hive View podría ganar acceso de lectura no autorizado a archivos almacenados en el host en el que el servidor Ambari ejecuta. • https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.3 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.5.1 • CWE-91: XML Injection (aka Blind XPath Injection) •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2017-5642
https://notcve.org/view.php?id=CVE-2017-5642
During installation of Ambari 2.4.0 through 2.4.2, Ambari Server artifacts are not created with proper ACLs. Durante la instalación de Ambari 2.4.0 a 2.4.2, los artefactos Ambari Server no se crean con las ACL adecuadas. • https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.5.0 • CWE-276: Incorrect Default Permissions •
CVSS: 5.5EPSS: 0%CPEs: 9EXPL: 0CVE-2016-4976
https://notcve.org/view.php?id=CVE-2016-4976
Apache Ambari 2.x before 2.4.0 includes KDC administrator passwords on the kadmin command line, which allows local users to obtain sensitive information via a process listing. Apache Ambari 2.x en versiones anteriores a 2.4.0 incluye contraseñas de administrador de KDC en la línea de comandos de kadmin, lo que permite a usuarios locales obtener información sensible a través de una lista de procesos. • http://www.securityfocus.com/bid/97229 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.0 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2014-3582
https://notcve.org/view.php?id=CVE-2014-3582
In Ambari 1.2.0 through 2.2.2, it may be possible to execute arbitrary system commands on the Ambari Server host while generating SSL certificates for hosts in an Ambari cluster. En Ambari versiones 1.2.0 hasta 2.2.2, puede ser posible ejecutar comandos de sistema arbitrarios en el host del servidor de Ambari mientras se generan los certificados SSL para los hosts en un clúster de Ambari. • https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.0 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2016-6807
https://notcve.org/view.php?id=CVE-2016-6807
Custom commands may be executed on Ambari Agent (2.4.x, before 2.4.2) hosts without authorization, leading to unauthorized access to operations that may affect the underlying system. Such operations are invoked by the Ambari Agent process on Ambari Agent hosts, as the user executing the Ambari Agent process. Los comandos personalizados pueden ser ejecutados en hosts Ambari Agent (2.4.x, en versiones anteriores a 2.4.2) sin autorización, lo que lleva a una acceso no autorizado a operaciones que pueden afectar a sistema subyacente. Tales operaciones son invocadas por el proceso Ambari Agent en el hosts Ambari Agent, com el usuario que ejecuta el proceso Ambari Agent. • http://www.securityfocus.com/bid/97184 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.2 • CWE-284: Improper Access Control •