CVSS: 7.0EPSS: 0%CPEs: 4EXPL: 0CVE-2019-19346 – openshift/mariadb-apb: /etc/passwd is given incorrect privileges
https://notcve.org/view.php?id=CVE-2019-19346
An insecure modification vulnerability in the /etc/passwd file was found in the container openshift/mariadb-apb, affecting versions before the following 4.3.5, 4.2.21, 4.1.37, and 3.11.188-4 . An attacker with access to the container could use this flaw to modify /etc/passwd and escalate their privileges. Se detectó una vulnerabilidad de modificación no segura en el archivo /etc/passwd en el contenedor openshift/mariadb-apb, que afecta a las versiones anteriores a las siguientes 4.3.5, 4.2.21, 4.1.37 y 3.11.188-4. Un atacante con acceso al contenedor podría utilizar este fallo para modificar el archivo /etc/passwd y escalar sus privilegios. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19346 https://access.redhat.com/security/cve/CVE-2019-19346 https://bugzilla.redhat.com/show_bug.cgi?id=1793289 https://access.redhat.com/articles/4859371 • CWE-266: Incorrect Privilege Assignment CWE-269: Improper Privilege Management •
CVSS: 7.0EPSS: 0%CPEs: 4EXPL: 0CVE-2019-19348 – openshift/apb-base: /etc/passwd is given incorrect privileges
https://notcve.org/view.php?id=CVE-2019-19348
An insecure modification vulnerability in the /etc/passwd file was found in the container openshift/apb-base, affecting versions before the following 4.3.5, 4.2.21, 4.1.37, and 3.11.188-4. An attacker with access to the container could use this flaw to modify /etc/passwd and escalate their privileges. Se detectó una vulnerabilidad de modificación no segura en el archivo /etc/passwd en el contenedor openshift/apb-base, que afecta a las versiones anteriores a las siguientes 4.3.5, 4.2.21, 4.1.37 y 3.11.188-4. Un atacante con acceso al contenedor podría utilizar este fallo para modificar el archivo /etc/passwd y escalar sus privilegios. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19348 https://access.redhat.com/security/cve/CVE-2019-19348 https://bugzilla.redhat.com/show_bug.cgi?id=1793286 https://access.redhat.com/articles/4859371 • CWE-266: Incorrect Privilege Assignment CWE-269: Improper Privilege Management •
CVSS: 9.8EPSS: 2%CPEs: 1EXPL: 1CVE-2014-0234
https://notcve.org/view.php?id=CVE-2014-0234
The default configuration of broker.conf in Red Hat OpenShift Enterprise 2.x before 2.1 has a password of "mooo" for a Mongo account, which allows remote attackers to hijack the broker by providing this password, related to the openshift.sh script in Openshift Extras before 20130920. NOTE: this may overlap CVE-2013-4253 and CVE-2013-4281. La configuración predeterminada de broker.conf en Red Hat OpenShift Enterprise versiones 2.x anteriores a 2.1, presenta una contraseña de "mooo" para una cuenta Mongo, lo que permite a atacantes remotos secuestrar el broker al proporcionar esta contraseña, relacionada con el script openshift.sh en Openshift Extras versiones anteriores a 20130920. NOTA: esto puede solaparse a CVE-2013-4253 y CVE-2013-4281. • http://openwall.com/lists/oss-security/2014/06/05/19 http://www.securityfocus.com/bid/67657 https://bugzilla.redhat.com/show_bug.cgi?id=1097008 https://github.com/openshift/openshift-extras/blob/master/README.md https://rhn.redhat.com/errata/RHSA-2014-0487.html • CWE-1188: Initialization of a Resource with an Insecure Default •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2013-0196
https://notcve.org/view.php?id=CVE-2013-0196
A CSRF issue was found in OpenShift Enterprise 1.2. The web console is using 'Basic authentication' and the REST API has no CSRF attack protection mechanism. This can allow an attacker to obtain the credential and the Authorization: header when requesting the REST API via web browser. Se encontró un problema de tipo CSRF en OpenShift Enterprise versión 1.2. La consola web está utilizando "Basic authentication" y la API REST no posee un mecanismo de protección contra ataques de tipo CSRF. • https://access.redhat.com/security/cve/cve-2013-0196 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-0196 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2014-0175
https://notcve.org/view.php?id=CVE-2014-0175
mcollective has a default password set at install mcollective presenta una contraseña predeterminada establecida en la instalación. • https://access.redhat.com/security/cve/cve-2014-0175 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-0175 https://security-tracker.debian.org/tracker/CVE-2014-0175 • CWE-798: Use of Hard-coded Credentials •