CVE-2021-40324
https://notcve.org/view.php?id=CVE-2021-40324
Cobbler before 3.3.0 allows arbitrary file write operations via upload_log_data. Cobbler versiones anteriores a 3.3.0, permite operaciones de escritura de archivos arbitrarios por medio de la función upload_log_data • https://github.com/cobbler/cobbler/commit/d8f60bbf14a838c8c8a1dba98086b223e35fe70a https://github.com/cobbler/cobbler/releases/tag/v3.3.0 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2021-40323
https://notcve.org/view.php?id=CVE-2021-40323
Cobbler before 3.3.0 allows log poisoning, and resultant Remote Code Execution, via an XMLRPC method that logs to the logfile for template injection. Cobbler versiones anteriores a 3.3.0, permite un envenenamiento de registros, y la resultante Ejecución de Código Remota , por medio de un método XMLRPC que se registra en el archivo de registro para la inyección de plantillas • https://github.com/cobbler/cobbler/commit/d8f60bbf14a838c8c8a1dba98086b223e35fe70a https://github.com/cobbler/cobbler/releases/tag/v3.3.0 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2017-1000469
https://notcve.org/view.php?id=CVE-2017-1000469
Cobbler version up to 2.8.2 is vulnerable to a command injection vulnerability in the "add repo" component resulting in arbitrary code execution as root user. Cobbler, en versiones hasta la 2.8.2, es vulnerable a inyección de comandos en el componente "add repo". Esto resulta en la ejecución de código arbitrario como usuario root. • https://github.com/cobbler/cobbler/issues/1845 • CWE-20: Improper Input Validation •
CVE-2011-4953
https://notcve.org/view.php?id=CVE-2011-4953
The set_mgmt_parameters function in item.py in cobbler before 2.2.2 allows context-dependent attackers to execute arbitrary code via vectors related to the use of the yaml.load function instead of the yaml.safe_load function, as demonstrated using Puppet. La función set_mgmt_parameters en item.py en cobbler anterior a 2.2.2 permite a atacantes dependientes de contexo ejecutar código arbitrario a través de vectores relacionados con el uso de la función yaml.load en lugar de la función yaml.safe_load, tal y como fue demostrado mediante el uso de Puppet. • http://lists.opensuse.org/opensuse-security-announce/2012-04/msg00019.html https://bugs.launchpad.net/ubuntu/oneiric/+source/cobbler/+bug/858883 https://bugzilla.novell.com/show_bug.cgi?id=757062 • CWE-20: Improper Input Validation •
CVE-2010-2235 – (cobbler): Code injection flaw (ACE as root) by processing of a specially-crafted kickstart template file
https://notcve.org/view.php?id=CVE-2010-2235
template_api.py in Cobbler before 2.0.7, as used in Red Hat Network Satellite Server and other products, does not disable the ability of the Cheetah template engine to execute Python statements contained in templates, which allows remote authenticated administrators to execute arbitrary code via a crafted kickstart template file, a different vulnerability than CVE-2008-6954. template_api.py en Cobbler, en versiones anteriores a la 2.0.7, como es usado en Red Hat Network Satellite Server y otros productos, no deshabilita la posiblidad del motor de plantillas Cheetah de ejecutar declaraciones Python contenidas en plantillas, lo que permite a administradores remotos autenticados ejecutar código de su elección mediante un fichero de plantilla kickstart manipulado, una vulnerabilidad diferente a CVE-2008-6954. • http://people.fedoraproject.org/~shenson/cobbler/cobbler-2.0.8.tar.gz http://www.redhat.com/support/errata/RHSA-2010-0775.html https://bugzilla.redhat.com/show_bug.cgi?id=607662 https://access.redhat.com/security/cve/CVE-2010-2235 • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-96: Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection') •