CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2022-3962 – Kiali: error message spoofing in kiali ui
https://notcve.org/view.php?id=CVE-2022-3962
A content spoofing vulnerability was found in Kiali. It was discovered that Kiali does not implement error handling when the page or endpoint being accessed cannot be found. This issue allows an attacker to perform arbitrary text injection when an error response is retrieved from the URL being accessed. Se encontró una vulnerabilidad de suplantación de contenido en Kiali. Se descubrió que Kiali no implementa el manejo de errores cuando no se puede encontrar la página o el endpoint al que se accede. • https://access.redhat.com/errata/RHSA-2023:0542 https://access.redhat.com/security/cve/CVE-2022-3962 https://bugzilla.redhat.com/show_bug.cgi?id=2148661 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 9.8EPSS: 0%CPEs: 10EXPL: 0CVE-2022-4039 – Rhsso-container-image: unsecured management interface exposed to adjecent network
https://notcve.org/view.php?id=CVE-2022-4039
A flaw was found in Red Hat Single Sign-On for OpenShift container images, which are configured with an unsecured management interface enabled. This flaw allows an attacker to use this interface to deploy malicious code and access and modify potentially sensitive information in the app server configuration. Se encontró una falla en Red Hat Single Sign-On para imágenes de contenedores OpenShift, que están configuradas con una interfaz de administración no segura habilitada. Esta falla permite a un atacante usar esta interfaz para implementar código malicioso y acceder y modificar información potencialmente sensible en la configuración del servidor de aplicaciones. • https://access.redhat.com/errata/RHSA-2023:1047 https://access.redhat.com/security/cve/CVE-2022-4039 https://bugzilla.redhat.com/show_bug.cgi?id=2143416 • CWE-276: Incorrect Default Permissions •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-3874 – Os command injection via ct_command and fcct_command
https://notcve.org/view.php?id=CVE-2022-3874
A command injection flaw was found in foreman. This flaw allows an authenticated user with admin privileges on the foreman instance to transpile commands through CoreOS and Fedora CoreOS configurations in templates, possibly resulting in arbitrary command execution on the underlying operating system. Se encontró falla en inyección de comando en capataz. Esta falla permite a un usuario autenticado con privilegios de administrador en la instancia de foreman transpilar comandos a través de configuraciones de CoreOS y Fedora CoreOS en plantillas, lo que posiblemente resulte en la ejecución de comandos arbitrarios en el sistema operativo subyacente. • https://access.redhat.com/security/cve/CVE-2022-3874 https://bugzilla.redhat.com/show_bug.cgi?id=2140577 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.1EPSS: 0%CPEs: 2EXPL: 0CVE-2023-0462 – Arbitrary code execution through yaml global parameters
https://notcve.org/view.php?id=CVE-2023-0462
An arbitrary code execution flaw was found in Foreman. This issue may allow an admin user to execute arbitrary code on the underlying operating system by setting global parameters with a YAML payload. Se encontró una falla en la ejecución de código arbitrario en Foreman. Este problema puede permitir que un usuario administrador ejecute código arbitrario en el sistema operativo subyacente estableciendo parámetros globales con un payload YAML. • https://access.redhat.com/security/cve/CVE-2023-0462 https://bugzilla.redhat.com/show_bug.cgi?id=2162970 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2023-4958 – Stackrox: missing http security headers allows for clickjacking in web ui
https://notcve.org/view.php?id=CVE-2023-4958
In Red Hat Advanced Cluster Security (RHACS), it was found that some security related HTTP headers were missing, allowing an attacker to exploit this with a clickjacking attack. An attacker could exploit this by convincing a valid RHACS user to visit an attacker-controlled web page, that deceptively points to valid RHACS endpoints, hijacking the user's account permissions to perform other actions. En Red Hat Advanced Cluster Security (RHACS), se descubrió que faltaban algunos encabezados HTTP relacionados con la seguridad, lo que permitía a un atacante explotar esto con un ataque de clickjacking. Un atacante podría aprovechar esto convenciendo a un usuario válido de RHACS para que visite una página web controlada por el atacante, que apunta engañosamente a endpoints de RHACS válidos, secuestrando los permisos de la cuenta del usuario para realizar otras acciones. • https://access.redhat.com/errata/RHSA-2023:5206 https://access.redhat.com/security/cve/CVE-2023-4958 https://bugzilla.redhat.com/show_bug.cgi?id=1990363 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •