CVE-2017-9796
https://notcve.org/view.php?id=CVE-2017-9796
When an Apache Geode cluster before v1.3.0 is operating in secure mode, a user with read access to specific regions within a Geode cluster may execute OQL queries containing a region name as a bind parameter that allow read access to objects within unauthorized regions. Cuando un clúster de Apache Geode en versiones anteriores a la v1.3.0 está operando en modo seguro, un usuario con acceso de lectura a regiones específicas de un clúster Geode podría ejecutar consultas OQL que contienen un nombre de región como parámetro de enlace y que permiten acceso de lectura a objetos en regiones no autorizadas. • https://lists.apache.org/thread.html/e580d22195b6b61ff9cf866ac6dd6fe16e790ff0e14a3b1a22cd20b1%40%3Cuser.geode.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-12622
https://notcve.org/view.php?id=CVE-2017-12622
When an Apache Geode cluster before v1.3.0 is operating in secure mode and an authenticated user connects to a Geode cluster using the gfsh tool with HTTP, the user is able to obtain status information and control cluster members even without CLUSTER:MANAGE privileges. Cuando un clúster de Apache Geode en versiones anteriores a la v1.3.0 está operando en modo seguro y un usuario autenticado se conecta a un cúster Geode mediante la herramienta gfsh con HTTP, el usuario puede conseguir información de estado y controlar a los miembros del clúster, incluso aunque no tenga privilegios CLUSTER:MANAGE. • https://lists.apache.org/thread.html/560578479dabbdc93d0ee8746b7c857549202ef82f43aa22496aa589%40%3Cuser.geode.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-9797
https://notcve.org/view.php?id=CVE-2017-9797
When an Apache Geode cluster before v1.2.1 is operating in secure mode, an unauthenticated client can enter multi-user authentication mode and send metadata messages. These metadata operations could leak information about application data types. In addition, an attacker could perform a denial of service attack on the cluster. Cuando un clúster de Apache Geode en versiones anteriores a la 1.2.1 opera en modo seguro, un cliente sin autenticar puede entrar en modo de autenticación multi-user y enviar mensajes con metadatos. Estas operaciones con metadatos podrían filtrar información sobre tipos de datos de aplicación. • http://mail-archives.apache.org/mod_mbox/geode-user/201709.mbox/%3cCAEwge-Hrbb7JS8Nygrh7geyFvW4bMZ3AdCmPOzMfvbniipz0bA%40mail.gmail.com%3e • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-9794
https://notcve.org/view.php?id=CVE-2017-9794
When a cluster is operating in secure mode, a user with read privileges for specific data regions can use the gfsh command line utility to execute queries. In Apache Geode before 1.2.1, the query results may contain data from another user's concurrently executing gfsh query, potentially revealing data that the user is not authorized to view. Cuando se opera un clúster en modo seguro, un usuario con privilegios de lectura para determinadas regiones de datos podría utilizar la herramienta de línea de comandos gfsh para ejecutar consultas. En las versiones anteriores a la 1.2.1 de Apache Geode, los resultados de las consultas pueden contener datos de otra consulta gfsh del usuario que se esté ejecutando de manera concurrente, pudiendo revelar datos que el usuario no está autorizado para visualizar. • http://mail-archives.apache.org/mod_mbox/geode-user/201709.mbox/%3cCAEwge-FqzrT+deCkNkM-EQZuKfg-XuqY4cGjFiqxoKBVduY1Zw%40mail.gmail.com%3e • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-5649
https://notcve.org/view.php?id=CVE-2017-5649
Apache Geode before 1.1.1, when a cluster has enabled security by setting the security-manager property, allows remote authenticated users with CLUSTER:READ but not DATA:READ permission to access the data browser page in Pulse and consequently execute an OQL query that exposes data stored in the cluster. Apache Geode en versiones anteriores a 1.1.1, cuando un clúster ha habilitado seguridad al establecer la propiedad security-manager, permite a los usuarios autenticados remotos con CLUSTER:READ pero no con el permiso DATA:READ acceder a la página del explorador de datos en Pulse y consecuentemente ejecutar una consulta OQL que expone los datos almacenados en el clúster. • http://mail-archives.apache.org/mod_mbox/geode-user/201704.mbox/%3cCAEwge-E4y=EVfhwpfRwsbnBH_hBS3Q-BJS+1BX5omYGW4dnR1w%40mail.gmail.com%3e http://www.securityfocus.com/bid/97378 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •