CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-5706
https://notcve.org/view.php?id=CVE-2018-5706
An issue was discovered in Octopus Deploy before 4.1.9. Any user with user editing permissions can modify teams to give themselves Administer System permissions even if they didn't have them, as demonstrated by use of the RoleEdit or TeamEdit permission. Se ha descubierto un problema en versiones anteriores a la 4.1.9 de Octopus Deploy. Cualquier usuario con permisos de edición puede modificar equipos para otorgarse a sí mismos derechos de Administer System, incluso aunque no los tengan, tal y como lo demuestra el uso de los permisos RoleEdit o TeamEdit. • https://github.com/OctopusDeploy/Issues/issues/4167 • CWE-269: Improper Privilege Management •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-4862
https://notcve.org/view.php?id=CVE-2018-4862
In Octopus Deploy versions 3.2.11 - 4.1.5 (fixed in 4.1.6), an authenticated user with ProcessEdit permission could reference an Azure account in such a way as to bypass the scoping restrictions, resulting in a potential escalation of privileges. En Octopus Deploy desde la versión 3.2.11 hasta la 4.1.5 (solucionado en la versión 4.1.6), un usuario autenticado con permiso ProcessEdit podría hacer referencia a una cuenta de Azure de tal manera que se puedan omitir las restricciones de alcance, resultando en un posible escalado de privilegios. • https://github.com/OctopusDeploy/Issues/issues/4134 • CWE-269: Improper Privilege Management •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-17665
https://notcve.org/view.php?id=CVE-2017-17665
In Octopus Deploy before 4.1.3, the machine update process doesn't check that the user has access to all environments. This allows an access-control bypass because the set of environments to which a machine is scoped may include environments in which the user lacks access. En Octopus Deploy en versiones anteriores a la 4.1.3, el proceso de actualización de la máquina no comprueba que el usuario tenga acceso a todos los entornos. Esto permite la omisión del control de acceso debido a que el conjunto de entornos en los que se encuentra podrían incluir entornos en los que el usuario no tienen acceso. • https://github.com/OctopusDeploy/Issues/issues/4073 • CWE-862: Missing Authorization •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16810
https://notcve.org/view.php?id=CVE-2017-16810
Cross-site scripting (XSS) vulnerability in the All Variables tab in Octopus Deploy 3.4.0-3.13.6 (fixed in 3.13.7) allows remote attackers to inject arbitrary web script or HTML via the Variable Set Name parameter. Vulnerabilidad Cross-Site Scripting (XSS) en la pestaña All Variables de Octopus Deploy, en versiones anteriores a la 3.4.0-3.13.6 (solucionado en la 3.13.7), permite que atacantes remotos inyecten scripts web o HTLM arbitrarios mediante el parámetro Variable Set Name. • https://github.com/OctopusDeploy/Issues/issues/3919 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2017-16801
https://notcve.org/view.php?id=CVE-2017-16801
Cross-site scripting (XSS) vulnerability in Octopus Deploy 3.7.0-3.17.13 (fixed in 3.17.14) allows remote authenticated users to inject arbitrary web script or HTML via the Step Template Name parameter. Vulnerabilidad Cross-Site Scripting (XSS) en versiones anteriores a la 3.7.0-3.17.13 (solucionado en la 3.17.14) de Octopus Deploy permite que usuarios remotos autenticados inyecten scripts web o HTLM arbitrarios mediante el parámetro Step Template Name. • https://github.com/OctopusDeploy/Issues/issues/3915 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •