CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18838
https://notcve.org/view.php?id=CVE-2018-18838
An issue was discovered in Netdata 1.10.0. Log Injection (or Log Forgery) exists via a %0a sequence in the url parameter to api/v1/registry. Un problema fue descubierto en Netdata 1.10.0. La inyección de registro (o la falsificación de registro) existe a través de una secuencia% 0a en el parámetro url para api / v1 / registry. • https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_log_injection.txt • CWE-116: Improper Encoding or Escaping of Output •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-18839
https://notcve.org/view.php?id=CVE-2018-18839
An issue was discovered in Netdata 1.10.0. Full Path Disclosure (FPD) exists via api/v1/alarms. NOTE: the vendor says "is intentional. ** EN DISPUTA** Se descubrió un problema en Netdata 1.10.0. La divulgación de ruta completa (FPD) existe a través de api / v1 / alarms. NOTA: el fabricante dice "es intencional". • https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_fpd.txt • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 1%CPEs: 1EXPL: 2CVE-2019-9834 – NetData 1.13.0 - HTML Injection
https://notcve.org/view.php?id=CVE-2019-9834
The Netdata web application through 1.13.0 allows remote attackers to inject their own malicious HTML code into an imported snapshot, aka HTML Injection. Successful exploitation will allow attacker-supplied HTML to run in the context of the affected browser, potentially allowing the attacker to steal authentication credentials or to control how the site is rendered to the user. NOTE: the vendor disputes the risk because there is a clear warning next to the button for importing a snapshot ** EN DISPUTA ** La aplicación web Netdata, hasta la versión 1.13.0, permite que los atacantes remotos inyecten su propio código HTML en una instantánea importada. Esto también se conoce como inyección HTML. Su explotación con éxito permite que se ejecute HTML proporcionado por el atacante en el contexto del navegador afectado, pudiendo permitir al atacante robar las credenciales de autenticación o controlar cómo se renderiza el sitio al usuario. • https://www.exploit-db.com/exploits/46545 https://github.com/netdata/netdata/issues/5800#issuecomment-510986112 https://www.youtube.com/watch?v=zSG93yX0B8k • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •