CVE-2019-8944
https://notcve.org/view.php?id=CVE-2019-8944
An Information Exposure issue in the Terraform deployment step in Octopus Deploy before 2019.1.8 (and before 2018.10.4 LTS) allows remote authenticated users to view sensitive Terraform output variables via log files. Un fallo de exposición de información en el paso de despliegue de Terraform en Octopus Deploy, en versiones anteriores a la 2019.1.8 (anteriores a la 2018.10.4 LTS) permite a los usuarios autenticados remotos visualizar variables de salida sensibles de Terraform mediante archivos de log. • https://github.com/OctopusDeploy/Issues/issues/5314 https://github.com/OctopusDeploy/Issues/issues/5315 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2018-12884
https://notcve.org/view.php?id=CVE-2018-12884
In Octopus Deploy 3.0 onwards (before 2018.6.7), an authenticated user with incorrect permissions may be able to create Accounts under the Infrastructure menu. Desde la versión 3.0 de Octopus Deploy (anteriores al 7/6/2018), un usuario autenticado con permisos incorrectos podría ser capaz de crear cuentas bajo el menú Infrastructure. • https://github.com/OctopusDeploy/Issues/issues/4674 • CWE-269: Improper Privilege Management •
CVE-2018-10581
https://notcve.org/view.php?id=CVE-2018-10581
In Octopus Deploy 3.4.x before 2018.4.7, an authenticated user is able to view/update/save variable values within the Tenant Variables area for Environments that do not exist within their associated Team scoping. This occurs in situations where this authenticated user also belongs to multiple teams, where one of the Teams has the VariableEdit permission or VariableView permissions for the Environment. En Octopus Deploy en versiones 3.4.x anteriores al 2018.4.7, un usuario autenticado puede visualizar, actualizar o guardar los valores de las variables en el área Tenant Variables para entornos que no existen en sus áreas de equipo asociadas. Esto ocurren en situaciones en donde este usuario autenticado también pertenece a varios equipos, donde uno de los equipos tiene un permiso VariableEdit o VariableView para el entorno. • https://github.com/OctopusDeploy/Issues/issues/4474 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-10550
https://notcve.org/view.php?id=CVE-2018-10550
In Octopus Deploy before 2018.4.7, target and tenant tag variable scopes were not checked against the list of tenants the user has access to. En Octopus Deploy en versiones anteriores a la 2018.4.7, los ámbitos de variables de etiqueta target y tenant no se compararon con la lista de tenants a los que el usuario tiene acceso. • https://github.com/OctopusDeploy/Issues/issues/4454 • CWE-269: Improper Privilege Management •
CVE-2018-9039
https://notcve.org/view.php?id=CVE-2018-9039
In Octopus Deploy 2.0 and later before 2018.3.7, an authenticated user, with variable edit permissions, can scope some variables to targets greater than their permissions should allow. In other words, they can see machines beyond their team's scoped environments. En Octopus Deploy 2.0 y posteriores, anteriores a 2018.3.7, un usuario autenticado con permisos de edición de variables puede averiguar algunas variables para límites mayores que aquellos para los que debería tener permisos. En otras palabras, los usuarios pueden visualizar máquinas más a allá de los entornos dentro de los límites del equipo. • https://github.com/OctopusDeploy/Issues/issues/4407 https://octopus.com/downloads/compare?from=2018.3.6&to=2018.3.7 • CWE-862: Missing Authorization •