CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-23019
https://notcve.org/view.php?id=CVE-2021-23019
01 Jun 2021 — The NGINX Controller 2.0.0 thru 2.9.0 and 3.x before 3.15.0 Administrator password may be exposed in the systemd.txt file that is included in the NGINX support package. La contraseña de administrador NGINX Controller versiones 2.0.0 a 2.9.0 y 3.x versiones anteriores a 3.15.0 puede estar expuesta en el archivo systemd.txt que se incluye en el paquete de soporte de NGINX • https://support.f5.com/csp/article/K04884013 • CWE-201: Insertion of Sensitive Information Into Sent Data CWE-522: Insufficiently Protected Credentials •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23018
https://notcve.org/view.php?id=CVE-2021-23018
01 Jun 2021 — Intra-cluster communication does not use TLS. The services within the NGINX Controller 3.x before 3.4.0 namespace are using cleartext protocols inside the cluster. Una comunicación dentro del clúster no usa TLS. Los servicios dentro del espacio de nombres de NGINX Controller 3.x versiones anteriores a 3.4.0 estan usando protocolos de texto sin cifrar dentro del clúster • https://support.f5.com/csp/article/K97002210 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 8.1EPSS: 76%CPEs: 25EXPL: 9CVE-2021-23017 – Nginx 1.20.0 - Denial of Service (DOS)
https://notcve.org/view.php?id=CVE-2021-23017
26 May 2021 — A security issue in nginx resolver was identified, which might allow an attacker who is able to forge UDP packets from the DNS server to cause 1-byte memory overwrite, resulting in worker process crash or potential other impact. Se identificó un problema de seguridad en el solucionador de nginx, que podría permitir a un atacante que pueda falsificar paquetes UDP desde el servidor DNS para causar una sobrescritura de memoria de 1 byte, lo que causaría un bloqueo del proceso de trabajo u otro impacto potencia... • https://packetstorm.news/files/id/167720 • CWE-193: Off-by-one Error •
CVSS: 9.8EPSS: 1%CPEs: 4EXPL: 0CVE-2020-27730
https://notcve.org/view.php?id=CVE-2020-27730
11 Dec 2020 — In versions 3.0.0-3.9.0, 2.0.0-2.9.0, and 1.0.1, the NGINX Controller Agent does not use absolute paths when calling system utilities. En versiones 3.0.0-3.9.0, 2.0.0-2.9.0 y 1.0.1, el NGINX Controller Agent no usa rutas absolutas cuando llaman a las utilidades del sistema • https://security.netapp.com/advisory/ntap-20210115-0004 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.8EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5909
https://notcve.org/view.php?id=CVE-2020-5909
02 Jul 2020 — In versions 3.0.0-3.5.0, 2.0.0-2.9.0, and 1.0.1, when users run the command displayed in NGINX Controller user interface (UI) to fetch the agent installer, the server TLS certificate is not verified. En las versiones 3.0.0 hasta 3.5.0, 2.0.0 hasta 2.9.0 y 1.0.1, cuando los usuarios ejecutan el comando desplegado en la Interfaz de Usuario (UI) del NGINX Controller para obtener el instalador del agente, el certificado TLS del servidor no es verificado • https://support.f5.com/csp/article/K31150658 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5910
https://notcve.org/view.php?id=CVE-2020-5910
02 Jul 2020 — In versions 3.0.0-3.5.0, 2.0.0-2.9.0, and 1.0.1, the Neural Autonomic Transport System (NATS) messaging services in use by the NGINX Controller do not require any form of authentication, so any successful connection would be authorized. En las versiones 3.0.0 hasta 3.5.0, 2.0.0 hasta 2.9.0 y 1.0.1, los servicios de mensajería de Neural Autonomic Transport System (NATS) que utiliza NGINX Controller no requieren ninguna forma de autenticación, por lo que cualquier conexión con éxito sería autorizada • https://support.f5.com/csp/article/K59209532 • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5911
https://notcve.org/view.php?id=CVE-2020-5911
02 Jul 2020 — In versions 3.0.0-3.5.0, 2.0.0-2.9.0, and 1.0.1, the NGINX Controller installer starts the download of Kubernetes packages from an HTTP URL On Debian/Ubuntu system. En las versiones 3.0.0 hasta 3.5.0, 2.0.0 hasta 2.9.0 y 1.0.1, el NGINX Controller inicia la descarga de los paquetes de Kubernetes desde una URL HTTP en el sistema Debian/Ubuntu • https://support.f5.com/csp/article/K84084843 •
CVSS: 9.6EPSS: 0%CPEs: 1EXPL: 0CVE-2020-5901
https://notcve.org/view.php?id=CVE-2020-5901
01 Jul 2020 — In NGINX Controller 3.3.0-3.4.0, undisclosed API endpoints may allow for a reflected Cross Site Scripting (XSS) attack. If the victim user is logged in as admin this could result in a complete compromise of the system. En NGINX Controller versiones 3.3.0 hasta 3.4.0, los endpoints de la API no revelados pueden permitir un ataque de tipo Cross Site Scripting (XSS) reflejado. Si el usuario víctima ha iniciado sesión como administrador, esto podría resultar en un compromiso completo del sistema • https://support.f5.com/csp/article/K43520321 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-5899
https://notcve.org/view.php?id=CVE-2020-5899
01 Jul 2020 — In NGINX Controller 3.0.0-3.4.0, recovery code required to change a user's password is transmitted and stored in the database in plain text, which allows an attacker who can intercept the database connection or have read access to the database, to request a password reset using the email address of another registered user then retrieve the recovery code. En NGINX Controller versiones 3.0.0 hasta 3.4.0, el código de recuperación requerido para cambiar la contraseña de un usuario es transmitida y almacenada e... • https://support.f5.com/csp/article/K25434422 • CWE-312: Cleartext Storage of Sensitive Information CWE-319: Cleartext Transmission of Sensitive Information CWE-522: Insufficiently Protected Credentials •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5900
https://notcve.org/view.php?id=CVE-2020-5900
01 Jul 2020 — In versions 3.0.0-3.4.0, 2.0.0-2.9.0, and 1.0.1, there is insufficient cross-site request forgery (CSRF) protections for the NGINX Controller user interface. En las versiones 3.0.0 hasta 3.4.0, 2.0.0 hasta 2.9.0 y 1.0.1, no se presentan suficientes protecciones de cross-site request forgery (CSRF) para la interfaz de usuario de NGINX Controller • https://support.f5.com/csp/article/K31044532 • CWE-352: Cross-Site Request Forgery (CSRF) •