CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-9300
https://notcve.org/view.php?id=CVE-2020-9300
The Access Control issues include allowing a regular user to view a restricted incident, user role escalation to admin, users adding themselves as a participant in a restricted incident, and users able to view restricted incidents via the search feature. If your install has followed the secure deployment guidelines the risk of this is lowered, as this may only be exploited by an authenticated user. Los problemas de Control de Acceso incluyen permitir a un usuario normal visualizar un incidente restringido, escalada de roles de usuario a administrador, usuarios que se agregan a sí mismos como participantes en un incidente restringido y usuarios capaces de visualizar incidentes restringidos por medio de la funcionalidad search. Si su instalación ha seguido las pautas de implementación segura, el riesgo de esto es reducido, ya que esto solo puede ser explotado por un usuario autenticado • https://github.com/Netflix/dispatch/releases/tag/v20201106 https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2020-005.md •
CVSS: 9.8EPSS: 0%CPEs: 17EXPL: 0CVE-2020-9297
https://notcve.org/view.php?id=CVE-2020-9297
Netflix Titus, all versions prior to version v0.1.1-rc.274, uses Java Bean Validation (JSR 380) custom constraint validators. When building custom constraint violation error messages, different types of interpolation are supported, including Java EL expressions. If an attacker can inject arbitrary data in the error message template being passed to ConstraintValidatorContext.buildConstraintViolationWithTemplate() argument, they will be able to run arbitrary Java code. Netflix Titus, todas las versiones anteriores a la versión v0.1.1-rc.274, utiliza validadores de restricción personalizados de Java Bean Validation (JSR 380). Cuando se crean mensajes de error de violación de restricciones personalizadas, diferentes tipos de interpolación son compatibles, incluidas las expresiones Java EL. • https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2020-002.md • CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-9296
https://notcve.org/view.php?id=CVE-2020-9296
Netflix Titus uses Java Bean Validation (JSR 380) custom constraint validators. When building custom constraint violation error messages, different types of interpolation are supported, including Java EL expressions. If an attacker can inject arbitrary data in the error message template being passed to ConstraintValidatorContext.buildConstraintViolationWithTemplate() argument, they will be able to run arbitrary Java code. Netflix Titus utiliza comprobadores de restricción personalizados de Java Bean Validation (JSR 380). Cuando se construyen mensajes de error de violación de restricciones personalizadas, diferentes tipos de interpolación son admitidas, incluyendo las expresiones Java EL. • https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2020-002.md • CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10028
https://notcve.org/view.php?id=CVE-2019-10028
Denial of Service (DOS) in Dial Reference Source Code Used before June 18th, 2019. Denegación de servicio (DOS) en el código fuente usado de Dial Reference antes del 18 de junio de 2019. • https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2019-002.md •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-7764
https://notcve.org/view.php?id=CVE-2015-7764
Lemur 0.1.4 does not use sufficient entropy in its IV when encrypting AES in CBC mode. Lemur 0.1.4 no emplea la suficiente entropía en su vector de inicialización cuando cifra AES en modo CBC. • http://www.openwall.com/lists/oss-security/2015/10/20/3 https://github.com/Netflix/lemur/issues/117 https://github.com/kvesteri/sqlalchemy-utils/issues/166 • CWE-331: Insufficient Entropy •