Page 2 of 14 results (0.005 seconds)

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

In ovirt-engine 4.1, if a host was provisioned with cloud-init, the root password could be revealed through the REST interface. En ovirt-engine 4.1, si un host fuera aprovisionado con un cloud-init, la contraseña root podría ser revelada a través de la interfaz REST. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7510 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-522: Insufficiently Protected Credentials •

CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0

The web console login form in ovirt-engine before version 4.2.3 returned different errors for non-existent users and invalid passwords, allowing an attacker to discover the names of valid user accounts. El formulario de inicio de sesión en la consola web de ovirt-engine, en versiones anteriores a la 4.2.3, devolvió errores diferentes para usuarios inexistentes y contraseñas no válidas, lo que permitió que un atacante descubriese los nombres de cuentas de usuario válidas. The ovirt-engine web console login form returned different errors for non-existent users and invalid passwords, allowing an attacker to discover the names of valid user accounts. • http://www.securityfocus.com/bid/104189 https://access.redhat.com/errata/RHSA-2018:1525 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1073 https://access.redhat.com/security/cve/CVE-2018-1073 https://bugzilla.redhat.com/show_bug.cgi?id=1553525 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-209: Generation of Error Message Containing Sensitive Information •

CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0

oVirt version 4.2.0 to 4.2.2 contains a Cross Site Scripting (XSS) vulnerability in the name/description of VMs portion of the web admin application. This vulnerability appears to have been fixed in version 4.2.3. oVirt, de la versión 4.2.0 a la 4.2.2, contiene una vulnerabilidad de Cross-Site Scripting (XSS) en el nombre/descripción de la porción de la máquina virtual de la aplicación web de administrador. La vulnerabilidad parece haber sido solucionada en la versión 4.2.3. • https://gerrit.ovirt.org/#/c/87265/2/frontend/webadmin/modules/webadmin/src/main/java/org/ovirt/engine/ui/webadmin/widget/host/HostNetworkInterfaceListViewItem.java https://gerrit.ovirt.org/c/87265 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

A vulnerability was discovered in oVirt 4.1.x before 4.1.9, where the combination of Enable Discard and Wipe After Delete flags for VM disks managed by oVirt, could cause a disk to be incompletely zeroed when removed from a VM. If the same storage blocks happen to be later allocated to a new disk attached to another VM, potentially sensitive data could be revealed to privileged users of that VM. Se ha descubierto una vulnerabilidad en versiones 4.1.x anteriores a la 4.1.9 de oVirt, donde la combinación de las marcas Enable Discard y Wipe After Delete para los discos de máquinas virtuales gestionados por oVirt podría provocar que el disco tome el valor cero al eliminarse de una VM. Si los mismos bloques de almacenamiento se reasignan a un nuevo disco conectado a otra máquina virtual, datos potencialmente sensibles podrían revelarse a usuarios privilegiados de esa máquina virtual. • http://www.securityfocus.com/bid/103433 https://access.redhat.com/errata/RHBA-2018:0135 https://bugzilla.redhat.com/show_bug.cgi?id=1549944 https://gerrit.ovirt.org/#/c/84861 https://gerrit.ovirt.org/#/c/84875 • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •

CVSS: 7.5EPSS: 0%CPEs: 30EXPL: 0

oVirt 3.2.2 through 3.5.0 does not invalidate the restapi session after logout from the webadmin, which allows remote authenticated users with knowledge of another user's session data to gain that user's privileges by replacing their session token with that of another user. oVirt 3.2.2 hasta la versión 3.5.0 no invalida la sesión restapi tras cerrar sesión desde el webadmin, lo que permite que usuarios remotos autenticados con conocimientos sobre los datos de sesión de otro usuario obtengan los privilegios de ese usuario reemplazando su token de sesión por el de otro usuario. • https://bugzilla.redhat.com/show_bug.cgi?id=1161730 https://bugzilla.redhat.com/show_bug.cgi?id=1165311 • CWE-264: Permissions, Privileges, and Access Controls •