CVE-2021-30476
https://notcve.org/view.php?id=CVE-2021-30476
HashiCorp Terraform’s Vault Provider (terraform-provider-vault) did not correctly configure GCE-type bound labels for Vault’s GCP auth method. Fixed in 2.19.1. Vault Provider (terraform-provider-vault) de HashiCorp Terraform no configuró correctamente las etiquetas enlazadas de tipo GCE para el método de autenticación de GCP de Vault. Corregido en la versión 2.19.1 • https://discuss.hashicorp.com/t/hcsec-2021-11-terraform-s-vault-provider-did-not-correctly-configure-bound-labels-for-gcp-auth/23464/2 https://github.com/hashicorp/terraform-provider-vault/issues/996 •
CVE-2021-3153
https://notcve.org/view.php?id=CVE-2021-3153
HashiCorp Terraform Enterprise up to v202102-2 failed to enforce an organization-level setting that required users within an organization to have two-factor authentication enabled. Fixed in v202103-1. HashiCorp Terraform Enterpriha sidosta v202102-2 no logró aplicar una configuración a nivel de organización que requerían usuarios dentro de una organización para tener habilitada la autenticación de dos factores. Corregido en la versión v202103-1. • https://discuss.hashicorp.com/t/hcsec-2021-06-terraform-enterprise-organization-level-mfa-requirement-was-not-enforced/22401 • CWE-287: Improper Authentication •
CVE-2020-15511
https://notcve.org/view.php?id=CVE-2020-15511
HashiCorp Terraform Enterprise up to v202006-1 contained a default signup page that allowed user registration even when disabled, bypassing SAML enforcement. Fixed in v202007-1. HashiCorp Terraform Enterprise versiones hasta v202006-1, contenía una página de registro predeterminada que permitía el registro del usuario incluso cuando estaba deshabilitada, omitiendo la aplicación de SAML. Corregido en la versión v202007-1 • https://github.com/hashicorp/terraform-enterprise-release-notes/blob/master/v202007-1.md https://www.hashicorp.com/blog/category/terraform •
CVE-2019-19316
https://notcve.org/view.php?id=CVE-2019-19316
When using the Azure backend with a shared access signature (SAS), Terraform versions prior to 0.12.17 may transmit the token and state snapshot using cleartext HTTP. Cuando se usa el backend de Azure con una firma de acceso compartida (SAS), Terraform versiones anteriores a 0.12.17 pueden transmitir el token y la imagen instantánea de estado utilizando HTTP en texto sin cifrar. • https://github.com/hashicorp/terraform/security/advisories/GHSA-4rvg-555h-r626 • CWE-319: Cleartext Transmission of Sensitive Information •
CVE-2018-9057
https://notcve.org/view.php?id=CVE-2018-9057
aws/resource_aws_iam_user_login_profile.go in the HashiCorp Terraform Amazon Web Services (AWS) provider through v1.12.0 has an inappropriate PRNG algorithm and seeding, which makes it easier for remote attackers to obtain access by leveraging an IAM account that was provisioned with a weak password. aws/resource_aws_iam_user_login_profile.go en el proveedor HashiCorp Terraform Amazon Web Services (AWS) hasta la versión v1.12.0 contiene un algoritmo y semilla PRNG. Esto facilita a los atacantes remotos obtener acceso aprovechando una cuenta IAM que se creó con una contraseña débil. • https://github.com/terraform-providers/terraform-provider-aws/pull/3934 • CWE-332: Insufficient Entropy in PRNG •