CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-19786
https://notcve.org/view.php?id=CVE-2018-19786
HashiCorp Vault before 1.0.0 writes the master key to the server log in certain unusual or misconfigured scenarios in which incorrect data comes from the autoseal mechanism without an error being reported. HashiCorp Vault en versiones anteriores a la 1.0.0 escribe la clave maestra en el registro del servidor en ciertos escenarios inusuales o mal configurados, en los cuales los datos incorrectos provienen del mecanismo de autosellado sin que se reporte un error. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#100-december-3rd-2018 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-15869
https://notcve.org/view.php?id=CVE-2018-15869
An Amazon Web Services (AWS) developer who does not specify the --owners flag when describing images via AWS CLI, and therefore not properly validating source software per AWS recommended security best practices, may unintentionally load an undesired and potentially malicious Amazon Machine Image (AMI) from the uncurated public community AMI catalog. Un desarrollador de Amazon Web Services (AWS) que no especifica la marca --owners al describir imágenes mediante la interfaz de línea de comandos de AWS y que, por lo tanto, no valida correctamente el software de origen según las buenas prácticas de seguridad recomendadas por AWS, podría cargar accidentalmente un AMI (Amazon Machine Image) no deseado y potencialmente malicioso desde el catálogo AMI público de la comunidad sin organizar. • http://www.securityfocus.com/bid/105172 https://github.com/hashicorp/packer/issues/6584 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16512
https://notcve.org/view.php?id=CVE-2017-16512
The vagrant update process in Hashicorp vagrant-vmware-fusion 5.0.2 through 5.0.4 allows local users to steal root privileges via a crafted update request when no updates are available. El proceso de actualización vagrant en Hashicorp vagrant-vmware-fusion, de la versión 5.0.2 a la 5.0.4, permite que usuarios locales roben privilegios root mediante una petición manipulada de actualización cuando no hay ninguna actualización disponible. • https://m4.rkw.io/blog/cve201716512-hashicorp-vagrantvmwarefusion-v502504-local-root.html • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 7.0EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16839
https://notcve.org/view.php?id=CVE-2017-16839
Hashicorp vagrant-vmware-fusion 5.0.4 allows local users to steal root privileges if VMware Fusion is not installed. Hashicorp vagrant-vmware-fusion 5.0.4 permite que usuarios locales roben privilegios root si VMware Fusion no está instalado. • https://m4.rkw.io/blog/cve201716839-hashicorp-vagrantvmwarefusion-v504-local-root.html •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16873
https://notcve.org/view.php?id=CVE-2017-16873
It is possible to exploit an unsanitized PATH in the suid binary that ships with vagrant-vmware-fusion 4.0.25 through 5.0.4 in order to escalate to root privileges. Es posible explotar una ruta sin sanear en el binario suid que se distribuye con vagrant-vmware-fusion, de la versión 4.0.25 a la 5.0.4, para escalar a privilegios root. • https://m4.rkw.io/blog/cve201716873-hashicorp-vagrantvmwarefusion-v4025504-local-root.html •