CVSS: 6.5EPSS: 1%CPEs: 6EXPL: 0CVE-2020-28348
https://notcve.org/view.php?id=CVE-2020-28348
24 Nov 2020 — HashiCorp Nomad and Nomad Enterprise 0.9.0 up to 0.12.7 client Docker file sandbox feature may be subverted when not explicitly disabled or when using a volume mount type. Fixed in 0.12.8, 0.11.7, and 0.10.8. HashiCorp Nomad y Nomad Enterprise versiones 0.9.0 hasta 0.12.7, La funcionalidad sandbox del archivo Docker del cliente puede subvertirse cuando no se deshabilita explícitamente o cuando se usa un tipo de montaje de volumen. Corregido en versiones 0.12.8, 0.11.7 y 0.10.8 • https://github.com/hashicorp/nomad/blob/master/CHANGELOG.md#0128-november-10-2020 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-27195
https://notcve.org/view.php?id=CVE-2020-27195
22 Oct 2020 — HashiCorp Nomad and Nomad Enterprise version 0.9.0 up to 0.12.5 client file sandbox feature can be subverted using either the template or artifact stanzas. Fixed in 0.12.6, 0.11.5, and 0.10.6 HashiCorp Nomad y Nomad Enterprise versiones 0.9.0 hasta 0.12.5, la funcionalidad client file sandbox puede ser subvertido usando la plantilla o estrofas de artefacto. Corregido en las versiones 0.12.6, 0.11.5 y 0.10.6 • https://github.com/hashicorp/nomad/blob/master/CHANGELOG.md#0126-october-21-2020 •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2020-10944
https://notcve.org/view.php?id=CVE-2020-10944
28 Apr 2020 — HashiCorp Nomad and Nomad Enterprise up to 0.10.4 contained a cross-site scripting vulnerability such that files from a malicious workload could cause arbitrary JavaScript to execute in the web UI. Fixed in 0.10.5. HashiCorp Nomad y Nomad Enterprise versiones hasta 0.10.4, contenían una vulnerabilidad de tipo cross-site scripting tal que los archivos de una carga de trabajo maliciosa podía causar que un JavaScript arbitrario se ejecutara en la Interfaz de Usuario web. Corregido en la versión 0.10.5. • https://github.com/hashicorp/nomad/issues/7468 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7956
https://notcve.org/view.php?id=CVE-2020-7956
31 Jan 2020 — HashiCorp Nomad and Nomad Enterprise up to 0.10.2 incorrectly validated role/region associated with TLS certificates used for mTLS RPC, and were susceptible to privilege escalation. Fixed in 0.10.3. HashiCorp Nomad and Nomad Enterprise versiones hasta 0.10.2, validó incorrectamente rol y región asociado con certificados TLS usados para mTLS RPC, y fueron susceptibles a una escalada de privilegios. Corregido en versión 0.10.3. • https://github.com/hashicorp/nomad/issues/7003 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-7218
https://notcve.org/view.php?id=CVE-2020-7218
31 Jan 2020 — HashiCorp Nomad and Nonad Enterprise up to 0.10.2 HTTP/RPC services allowed unbounded resource usage, and were susceptible to unauthenticated denial of service. Fixed in 0.10.3. Los servicios HashiCorp Nomad y Nonad Enterprise hasta la versión 0.10.2 HTTP/RPC permitían un uso ilimitado de los recursos, y eran susceptibles de una denegación de servicio no autenticada. Corregido en la versión 0.10.3 • https://github.com/hashicorp/nomad/issues/7002 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12618
https://notcve.org/view.php?id=CVE-2019-12618
12 Aug 2019 — HashiCorp Nomad 0.9.0 through 0.9.1 has Incorrect Access Control via the exec driver. HashiCorp Nomad versión 0.9.0 a 0.9.1 tiene un control de acceso incorrecto a través del exec driver. • https://github.com/hashicorp/nomad/issues/5783 • CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003093
https://notcve.org/view.php?id=CVE-2019-1003093
04 Apr 2019 — A missing permission check in Jenkins Nomad Plugin in the NomadCloud.DescriptorImpl#doTestConnection form validation method allows attackers with Overall/Read permission to initiate a connection to an attacker-specified server. La ausencia de una comprobación de permiso en el plugin Nomad de Jenkins, en el método de validación de formulario NomadCloud.DescriptorImpl#doTestConnection, permite a los atacantes con permisos Overall/Read iniciar una conexión a un servidor especificado por el atacante. • http://www.openwall.com/lists/oss-security/2019/04/12/2 • CWE-862: Missing Authorization •