CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 0CVE-2016-8750 – karaf: LDAP injection in LDAPLoginModule
https://notcve.org/view.php?id=CVE-2016-8750
19 Feb 2018 — Apache Karaf prior to 4.0.8 used the LDAPLoginModule to authenticate users to a directory via LDAP. However, it did not encoding usernames properly and hence was vulnerable to LDAP injection attacks leading to a denial of service. Apache Karaf en versiones anteriores a la 4.0.8 utilizaba LDAPLoginModule para autenticar a los usuarios en un directorio mediante LDAP. Sin embargo, no cifraba los nombres de usuario correctamente y, por lo tanto, era vulnerable a ataques de inyección LDAP, lo que conducía a una ... • http://www.securityfocus.com/bid/103098 • CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000406
https://notcve.org/view.php?id=CVE-2017-1000406
30 Nov 2017 — OpenDaylight Karaf 0.6.1-Carbon fails to clear the cache after a password change, allowing the old password to be used until the Karaf cache is manually cleared (e.g. via restart). OpenDaylight Karaf 0.6.1-Carbon no limpia la memoria caché después de un cambio de contraseña, permitiendo el uso de la contraseña antigua hasta que la memoria caché Karaf se limpie manualmente (por ejemplo, mediante reinicio). • http://seclists.org/oss-sec/2017/q4/320 • CWE-254: 7PK - Security Features •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2014-0219
https://notcve.org/view.php?id=CVE-2014-0219
15 Nov 2017 — Apache Karaf before 4.0.10 enables a shutdown port on the loopback interface, which allows local users to cause a denial of service (shutdown) by sending a shutdown command to all listening high ports. Apache Karaf en versiones anteriores a la 4.0.10 habilita un puerto de apagado en la interfaz de bucle invertido, lo cual permite a los usuarios locales provocar una denegación de servicio (apagado de sistema), enviando un comando de apagado a todos los puertos altos que estén escuchando. • http://karaf.apache.org/security/cve-2014-0219.txt • CWE-20: Improper Input Validation •