Page 39 of 370 results (0.002 seconds)

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

Improper Encoding or Escaping of Output vulnerability in Apache Zeppelin. The attackers can execute shell scripts or malicious code by overriding configuration like ZEPPELIN_INTP_CLASSPATH_OVERRIDES. This issue affects Apache Zeppelin: from 0.8.2 before 0.11.1. Users are recommended to upgrade to version 0.11.1, which fixes the issue. Vulnerabilidad de codificación o escape de salida inadecuados en Apache Zeppelin. Los atacantes pueden ejecutar scripts de shell o código malicioso anulando configuraciones como ZEPPELIN_INTP_CLASSPATH_OVERRIDES. Este problema afecta a Apache Zeppelin: desde 0.8.2 antes de 0.11.1. Se recomienda a los usuarios actualizar a la versión 0.11.1, que soluciona el problema. • http://www.openwall.com/lists/oss-security/2024/04/09/10 https://github.com/apache/zeppelin/pull/4715 https://lists.apache.org/thread/jpkbq3oktopt34x2n5wnhzc2r1410ddd • CWE-116: Improper Encoding or Escaping of Output •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Improper Input Validation vulnerability in Apache Zeppelin. The attackers can call updating cron API with invalid or improper privileges so that the notebook can run with the privileges. This issue affects Apache Zeppelin: from 0.8.2 before 0.11.1. Users are recommended to upgrade to version 0.11.1, which fixes the issue. Vulnerabilidad de validación de entrada incorrecta en Apache Zeppelin. Los atacantes pueden solicitar la actualización de la API cron con privilegios no válidos o inadecuados para que el portátil pueda ejecutarse con esos privilegios. Este problema afecta a Apache Zeppelin: desde 0.8.2 antes de 0.11.1. Se recomienda a los usuarios actualizar a la versión 0.11.1, que soluciona el problema. • http://www.openwall.com/lists/oss-security/2024/04/09/9 https://github.com/apache/zeppelin/pull/4631 https://lists.apache.org/thread/slm1sf0slwc11f4m4r0nd6ot2rf7w81l • CWE-20: Improper Input Validation •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

Improper Control of Generation of Code ('Code Injection') vulnerability in Apache Zeppelin. The attacker can inject sensitive configuration or malicious code when connecting MySQL database via JDBC driver. This issue affects Apache Zeppelin: before 0.11.1. Users are recommended to upgrade to version 0.11.1, which fixes the issue. Vulnerabilidad de control inadecuado de generación de código ("inyección de código") en Apache Zeppelin. El atacante puede inyectar configuración confidencial o código malicioso al conectar la base de datos MySQL a través del controlador JDBC. Este problema afecta a Apache Zeppelin: anteriores a 0.11.1. Se recomienda a los usuarios actualizar a la versión 0.11.1, que soluciona el problema. • http://www.openwall.com/lists/oss-security/2024/04/09/8 https://github.com/apache/zeppelin/pull/4709 https://lists.apache.org/thread/752qdk0rnkd9nqtornz734zwb7xdwcdb https://www.cve.org/CVERecord?id=CVE-2020-11974 • CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: -EPSS: 0%CPEs: 1EXPL: 0

Authentication Bypass by Spoofing vulnerability by replacing to exsiting notes in Apache Zeppelin.This issue affects Apache Zeppelin: from 0.10.1 before 0.11.0. Users are recommended to upgrade to version 0.11.0, which fixes the issue. Vulnerabilidad de omisión de autenticación mediante suplantación de identidad al reemplazar notas existentes en Apache Zeppelin. Este problema afecta a Apache Zeppelin: desde 0.10.1 antes de 0.11.0. Se recomienda a los usuarios actualizar a la versión 0.11.0, que soluciona el problema. • http://www.openwall.com/lists/oss-security/2024/04/09/6 https://lists.apache.org/thread/3od2gfpwllmtc9c5ggw04ohn8s7w3ct9 • CWE-290: Authentication Bypass by Spoofing •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

In Eclipse Kura LogServlet component included in versions 5.0.0 to 5.4.1, a specifically crafted request to the servlet can allow an unauthenticated user to retrieve the device logs. Also, downloaded logs may be used by an attacker to perform privilege escalation by using the session id of an authenticated user reported in logs. This issue affects org.eclipse.kura:org.eclipse.kura.web2 version range [2.0.600, 2.4.0], which is included in Eclipse Kura version range [5.0.0, 5.4.1] En el componente Eclipse Kura LogServlet incluido en las versiones 5.0.0 a 5.4.1, una solicitud manipulada específicamente al servlet puede permitir que un usuario no autenticado recupere los registros del dispositivo. Además, un atacante puede utilizar los registros descargados para realizar una escalada de privilegios utilizando la identificación de sesión de un usuario autenticado informado en los registros. Este problema afecta al rango de versiones org.eclipse.kura:org.eclipse.kura.web2 [2.0.600, 2.4.0], que se incluye en el rango de versiones de Eclipse Kura [5.0.0, 5.4.1]. • https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/188 • CWE-303: Incorrect Implementation of Authentication Algorithm •