CVE-2017-9795
https://notcve.org/view.php?id=CVE-2017-9795
When an Apache Geode cluster before v1.3.0 is operating in secure mode, a user with read access to specific regions within a Geode cluster may execute OQL queries that allow read and write access to objects within unauthorized regions. In addition a user could invoke methods that allow remote code execution. Cuando un clúster de Apache Geode en versiones anteriores a la v1.3.0 está operando en modo seguro, un usuario con acceso de lectura a regiones específicas de un clúster Geode podría ejecutar consultas OQL que permiten acceso de lectura y escritura a objetos en regiones no autorizadas. Además, un usuario podría invocar métodos que permiten la ejecución remota de código. • http://www.securityfocus.com/bid/102488 https://lists.apache.org/thread.html/0fc5ea3c1ea06fe7058a0ab56d593914b05f728a6c93c5a6755956c7%40%3Cuser.geode.apache.org%3E https://lists.apache.org/thread.html/232d75150991820d2fe6ba6bd4265fb58b4fe4d9d8d62eb2fd97256c%40%3Cdev.geode.apache.org%3E https://lists.apache.org/thread.html/3a48163ca1fff757aefa4d9df24a251bb11ddd599a78cd85585abd00%40%3Cdev.geode.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-9796
https://notcve.org/view.php?id=CVE-2017-9796
When an Apache Geode cluster before v1.3.0 is operating in secure mode, a user with read access to specific regions within a Geode cluster may execute OQL queries containing a region name as a bind parameter that allow read access to objects within unauthorized regions. Cuando un clúster de Apache Geode en versiones anteriores a la v1.3.0 está operando en modo seguro, un usuario con acceso de lectura a regiones específicas de un clúster Geode podría ejecutar consultas OQL que contienen un nombre de región como parámetro de enlace y que permiten acceso de lectura a objetos en regiones no autorizadas. • https://lists.apache.org/thread.html/e580d22195b6b61ff9cf866ac6dd6fe16e790ff0e14a3b1a22cd20b1%40%3Cuser.geode.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-12622
https://notcve.org/view.php?id=CVE-2017-12622
When an Apache Geode cluster before v1.3.0 is operating in secure mode and an authenticated user connects to a Geode cluster using the gfsh tool with HTTP, the user is able to obtain status information and control cluster members even without CLUSTER:MANAGE privileges. Cuando un clúster de Apache Geode en versiones anteriores a la v1.3.0 está operando en modo seguro y un usuario autenticado se conecta a un cúster Geode mediante la herramienta gfsh con HTTP, el usuario puede conseguir información de estado y controlar a los miembros del clúster, incluso aunque no tenga privilegios CLUSTER:MANAGE. • https://lists.apache.org/thread.html/560578479dabbdc93d0ee8746b7c857549202ef82f43aa22496aa589%40%3Cuser.geode.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-9797
https://notcve.org/view.php?id=CVE-2017-9797
When an Apache Geode cluster before v1.2.1 is operating in secure mode, an unauthenticated client can enter multi-user authentication mode and send metadata messages. These metadata operations could leak information about application data types. In addition, an attacker could perform a denial of service attack on the cluster. Cuando un clúster de Apache Geode en versiones anteriores a la 1.2.1 opera en modo seguro, un cliente sin autenticar puede entrar en modo de autenticación multi-user y enviar mensajes con metadatos. Estas operaciones con metadatos podrían filtrar información sobre tipos de datos de aplicación. • http://mail-archives.apache.org/mod_mbox/geode-user/201709.mbox/%3cCAEwge-Hrbb7JS8Nygrh7geyFvW4bMZ3AdCmPOzMfvbniipz0bA%40mail.gmail.com%3e • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-9794
https://notcve.org/view.php?id=CVE-2017-9794
When a cluster is operating in secure mode, a user with read privileges for specific data regions can use the gfsh command line utility to execute queries. In Apache Geode before 1.2.1, the query results may contain data from another user's concurrently executing gfsh query, potentially revealing data that the user is not authorized to view. Cuando se opera un clúster en modo seguro, un usuario con privilegios de lectura para determinadas regiones de datos podría utilizar la herramienta de línea de comandos gfsh para ejecutar consultas. En las versiones anteriores a la 1.2.1 de Apache Geode, los resultados de las consultas pueden contener datos de otra consulta gfsh del usuario que se esté ejecutando de manera concurrente, pudiendo revelar datos que el usuario no está autorizado para visualizar. • http://mail-archives.apache.org/mod_mbox/geode-user/201709.mbox/%3cCAEwge-FqzrT+deCkNkM-EQZuKfg-XuqY4cGjFiqxoKBVduY1Zw%40mail.gmail.com%3e • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •