CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-0574 – Server-Side Request Forgery
https://notcve.org/view.php?id=CVE-2023-0574
Server-Side Request Forgery (SSRF), Improperly Controlled Modification of Dynamically-Determined Object Attributes, Improper Restriction of Excessive Authentication Attempts vulnerability in YugaByte, Inc. Yugabyte Managed allows Accessing Functionality Not Properly Constrained by ACLs, Communication Channel Manipulation, Authentication Abuse.This issue affects Yugabyte Managed: from 2.0.0.0 through 2.13.0.0 • https://www.yugabyte.com • CWE-307: Improper Restriction of Excessive Authentication Attempts CWE-915: Improperly Controlled Modification of Dynamically-Determined Object Attributes CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-37397 – The software is vulnerable when using LDAP-based authentication in YCQL with Microsoft’s Active Directory
https://notcve.org/view.php?id=CVE-2022-37397
An issue was discovered in the YugabyteDB 2.6.1 when using LDAP-based authentication in YCQL with Microsoft’s Active Directory. When anonymous or unauthenticated LDAP binding is enabled, it allows bypass of authentication with an empty password. Se ha detectado un problema en YugabyteDB versión 2.6.1, cuando es usada la autenticación basada en LDAP en YCQL con el Directorio Activo de Microsoft. Cuando es habilitada la vinculación anónima o no autenticada de LDAP, permite omitir la autenticación con una contraseña vacía. • https://www.yugabyte.com • CWE-16: Configuration CWE-287: Improper Authentication •
CVSS: 7.8EPSS: 0%CPEs: 60EXPL: 0CVE-2019-3800 – CF CLI writes the client id and secret to config file
https://notcve.org/view.php?id=CVE-2019-3800
CF CLI version prior to v6.45.0 (bosh release version 1.16.0) writes the client id and secret to its config file when the user authenticates with --client-credentials flag. A local authenticated malicious user with access to the CF CLI config file can act as that client, who is the owner of the leaked credentials. La CLI de CF anterior a versión v6.45.0 (versión de lanzamiento bosh 1.16.0), escribe el id y el secreto del cliente hacia su archivo de configuración cuando el usuario se autentica con el flag --client-credentials. Un usuario malicioso autenticado local con acceso al archivo de configuración de la CLI de CF puede actuar como ese cliente, quien es el propietario de las credenciales filtradas. • https://pivotal.io/security/cve-2019-3800 https://www.cloudfoundry.org/blog/cve-2019-3800 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-522: Insufficiently Protected Credentials •