CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-24685
https://notcve.org/view.php?id=CVE-2022-24685
28 Feb 2022 — HashiCorp Nomad and Nomad Enterprise 1.0.17, 1.1.11, and 1.2.5 allow invalid HCL for the jobs parse endpoint, which may cause excessive CPU usage. Fixed in 1.0.18, 1.1.12, and 1.2.6. HashiCorp Nomad y Nomad Enterprise versiones 1.0.17, 1.1.11 y 1.2.5 permiten HCL no válidos para el punto final de análisis de trabajos, lo que puede causar un uso excesivo de la CPU. Corregido en las versiones 1.0.18, 1.1.12 y 1.2.6. • https://discuss.hashicorp.com • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 7.8EPSS: 0%CPEs: 6EXPL: 0CVE-2022-24683
https://notcve.org/view.php?id=CVE-2022-24683
17 Feb 2022 — HashiCorp Nomad and Nomad Enterprise 0.9.2 through 1.0.17, 1.1.11, and 1.2.5 allow operators with read-fs and alloc-exec (or job-submit) capabilities to read arbitrary files on the host filesystem as root. HashiCorp Nomad y Nomad Enterprise versiones 0.9.2 hasta 1.0.17, 1.1.11 y 1.2.5 permiten a operadores con capacidades read-fs y alloc-exec (o job-submit) leer archivos arbitrarios en el sistema de archivos del host como root • https://discuss.hashicorp.com •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-24684
https://notcve.org/view.php?id=CVE-2022-24684
15 Feb 2022 — HashiCorp Nomad and Nomad Enterprise 0.9.0 through 1.0.16, 1.1.11, and 1.2.5 allow operators with job-submit capabilities to use the spread stanza to panic server agents. Fixed in 1.0.18, 1.1.12, and 1.2.6. HashiCorp Nomad y Nomad Enterprise versiones 0.9.0 hasta 1.0.16, 1.1.11 y 1.2.5 permiten a los operadores con capacidades de envío de trabajos utilizar la estrofa de propagación para hacer entrar en pánico a los agentes del servidor. Corregido en las versiones 1.0.18, 1.1.12 y 1.2.6. • https://discuss.hashicorp.com •
CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0CVE-2022-24686
https://notcve.org/view.php?id=CVE-2022-24686
14 Feb 2022 — HashiCorp Nomad and Nomad Enterprise 0.3.0 through 1.0.17, 1.1.11, and 1.2.5 artifact download functionality has a race condition such that the Nomad client agent could download the wrong artifact into the wrong destination. Fixed in 1.0.18, 1.1.12, and 1.2.6 La funcionalidad artifact download de HashiCorp Nomad y Nomad Enterprise versiones 0.3.0 hasta 1.0.17, 1.1.11 y 1.2.5, presenta una condición de carrera que hace que el agente cliente de Nomad pueda descargar el artefacto equivocado en el destino equiv... • https://discuss.hashicorp.com • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43415
https://notcve.org/view.php?id=CVE-2021-43415
03 Dec 2021 — HashiCorp Nomad and Nomad Enterprise up to 1.0.13, 1.1.7, and 1.2.0, with the QEMU task driver enabled, allowed authenticated users with job submission capabilities to bypass the configured allowed image paths. Fixed in 1.0.14, 1.1.8, and 1.2.1. HashiCorp Nomad y Nomad Enterprise versiones hasta 1.0.13, 1.1.7 y 1.2.0, con el controlador de tareas QEMU habilitado, permitía a usuarios autenticados con capacidad de envío de trabajos omitir las rutas de imagen permitidas configuradas. Corregido en versiones 1.0... • https://discuss.hashicorp.com/t/hcsec-2021-31-nomad-qemu-task-driver-allowed-paths-bypass-with-job-args/32288 •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2021-37218
https://notcve.org/view.php?id=CVE-2021-37218
07 Sep 2021 — HashiCorp Nomad and Nomad Enterprise Raft RPC layer allows non-server agents with a valid certificate signed by the same CA to access server-only functionality, enabling privilege escalation. Fixed in 1.0.10 and 1.1.4. La capa RPC de HashiCorp Nomad y Nomad Enterprise Raft permite a agentes no servidores con un certificado válido firmado por la misma CA acceder a la funcionalidad server-only, permitiendo una escalada de privilegios. Corregido en versiones 1.0.10 y 1.1.4 • https://discuss.hashicorp.com/t/hcsec-2021-21-nomad-raft-rpc-privilege-escalation/29023 • CWE-295: Improper Certificate Validation •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21681
https://notcve.org/view.php?id=CVE-2021-21681
31 Aug 2021 — Jenkins Nomad Plugin 0.7.4 and earlier stores Docker passwords unencrypted in the global config.xml file on the Jenkins controller where they can be viewed by users with access to the Jenkins controller file system. El plugin Nomad de Jenkins versiones 0.7.4 y anteriores, almacena las contraseñas de Docker sin cifrar en el archivo global config.xml del controlador Jenkins, donde pueden ser visualizadas por usuarios con acceso al sistema de archivos del controlador Jenkins • http://www.openwall.com/lists/oss-security/2021/08/31/1 • CWE-522: Insufficiently Protected Credentials •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-32575
https://notcve.org/view.php?id=CVE-2021-32575
17 Jun 2021 — HashiCorp Nomad and Nomad Enterprise up to version 1.0.4 bridge networking mode allows ARP spoofing from other bridged tasks on the same node. Fixed in 0.12.12, 1.0.5, and 1.1.0 RC1. HashiCorp Nomad y Nomad Enterprise versiones hasta 1.0.4, el modo de red bridge permite la suplantación de ARP desde otras tareas de bridged en el mismo nodo. Corregido en versiones 0.12.12, 1.0.5 y 1.1.0 RC1 • https://discuss.hashicorp.com/t/hcsec-2021-14-nomad-bridge-networking-mode-allows-arp-spoofing-from-other-bridged-tasks-on-same-node/24296 •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-3283
https://notcve.org/view.php?id=CVE-2021-3283
01 Feb 2021 — HashiCorp Nomad and Nomad Enterprise up to 0.12.9 exec and java task drivers can access processes associated with other tasks on the same node. Fixed in 0.12.10, and 1.0.3. HashiCorp Nomad y Nomad Enterprise versiones hasta 0.12.9, exec y los controladores de tareas de Java pueden acceder a los procesos asociados con otras tareas en el mismo nodo. Corregido en las versiones 0.12.10 y 1.0.3 • https://discuss.hashicorp.com/t/hcsec-2021-01-nomad-s-exec-and-java-task-drivers-did-not-isolate-processes/20332 •
CVSS: 6.5EPSS: 1%CPEs: 6EXPL: 0CVE-2020-28348
https://notcve.org/view.php?id=CVE-2020-28348
24 Nov 2020 — HashiCorp Nomad and Nomad Enterprise 0.9.0 up to 0.12.7 client Docker file sandbox feature may be subverted when not explicitly disabled or when using a volume mount type. Fixed in 0.12.8, 0.11.7, and 0.10.8. HashiCorp Nomad y Nomad Enterprise versiones 0.9.0 hasta 0.12.7, La funcionalidad sandbox del archivo Docker del cliente puede subvertirse cuando no se deshabilita explícitamente o cuando se usa un tipo de montaje de volumen. Corregido en versiones 0.12.8, 0.11.7 y 0.10.8 • https://github.com/hashicorp/nomad/blob/master/CHANGELOG.md#0128-november-10-2020 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •