CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-8003
https://notcve.org/view.php?id=CVE-2018-8003
Apache Ambari, versions 1.4.0 to 2.6.1, is susceptible to a directory traversal attack allowing an unauthenticated user to craft an HTTP request which provides read-only access to any file on the filesystem of the host the Ambari Server runs on that is accessible by the user the Ambari Server is running as. Direct network access to the Ambari Server is required to issue this request, and those Ambari Servers that are protected behind a firewall, or in a restricted network zone are at less risk of being affected by this issue. Apache Ambari, de la versión 1.4.0 a la 2.6.1, es susceptible a un ataque de salto de directorio que permite que un usuario no autenticado manipule una petición HTTP que proporciona acceso de solo lectura a cualquier archivo en el sistema de archivos del host en el que se ejecuta que es accesible por el usuario como el que se está ejecutando el servidor de Ambari. El acceso de red directo al servidor de Ambari es necesario para enviar esta petición; los servidores Ambari que están protegidos tras un firewall o en una zona de red restringida son menos propensos a verse afectados por este problema. • http://www.securityfocus.com/bid/104161 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-CVE-2018-8003 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.5EPSS: 0%CPEs: 15EXPL: 0CVE-2017-5655
https://notcve.org/view.php?id=CVE-2017-5655
In Ambari 2.2.2 through 2.4.2 and Ambari 2.5.0, sensitive data may be stored on disk in temporary files on the Ambari Server host. The temporary files are readable by any user authenticated on the host. En Ambari desde la versión 2.2.2 hasta la 2.4.2 y en la 2.5.0, puede darse el caso de que haya datos sensibles almacenados en archivos temporales en el host del servidor de Ambari. Cualquier usuario autenticado en el host puede leer los archivos temporales. • https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.3 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.5.1 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2017-5654
https://notcve.org/view.php?id=CVE-2017-5654
In Ambari 2.4.x (before 2.4.3) and Ambari 2.5.0, an authorized user of the Ambari Hive View may be able to gain unauthorized read access to files on the host where the Ambari server executes. En Ambari 2.4.x en versiones anteriores a la 2.4.3 y en la versión 2.5.0 de Ambari, un usuario autorizado de Ambari Hive View podría ganar acceso de lectura no autorizado a archivos almacenados en el host en el que el servidor Ambari ejecuta. • https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.3 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.5.1 • CWE-91: XML Injection (aka Blind XPath Injection) •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2017-5642
https://notcve.org/view.php?id=CVE-2017-5642
During installation of Ambari 2.4.0 through 2.4.2, Ambari Server artifacts are not created with proper ACLs. Durante la instalación de Ambari 2.4.0 a 2.4.2, los artefactos Ambari Server no se crean con las ACL adecuadas. • https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.5.0 • CWE-276: Incorrect Default Permissions •
CVSS: 5.5EPSS: 0%CPEs: 9EXPL: 0CVE-2016-4976
https://notcve.org/view.php?id=CVE-2016-4976
Apache Ambari 2.x before 2.4.0 includes KDC administrator passwords on the kadmin command line, which allows local users to obtain sensitive information via a process listing. Apache Ambari 2.x en versiones anteriores a 2.4.0 incluye contraseñas de administrador de KDC en la línea de comandos de kadmin, lo que permite a usuarios locales obtener información sensible a través de una lista de procesos. • http://www.securityfocus.com/bid/97229 https://cwiki.apache.org/confluence/display/AMBARI/Ambari+Vulnerabilities#AmbariVulnerabilities-FixedinAmbari2.4.0 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •