CVE-2019-11632
https://notcve.org/view.php?id=CVE-2019-11632
In Octopus Deploy 2019.1.0 through 2019.3.1 and 2019.4.0 through 2019.4.5, an authenticated user with the VariableViewUnscoped or VariableEditUnscoped permission scoped to a specific project could view or edit unscoped variables from a different project. (These permissions are only used in custom User Roles and do not affect built in User Roles.) En Octopus Deploy versión 2019.1.0 hasta 2019.3.1 y versión 2019.4.0 hasta 2019.4.5, un usuario identificado con el permiso VariableViewUnscoped o VariableEditUnscoped con alcance para un proyecto específico podría ver o editar variables sin ámbito de un proyecto diferente. (Estos permisos son solo usados en roles de usuario personalizados y no afectan a los roles de usuario integrados). • https://github.com/OctopusDeploy/Issues/issues/5528 https://github.com/OctopusDeploy/Issues/issues/5529 • CWE-269: Improper Privilege Management •
CVE-2019-8944
https://notcve.org/view.php?id=CVE-2019-8944
An Information Exposure issue in the Terraform deployment step in Octopus Deploy before 2019.1.8 (and before 2018.10.4 LTS) allows remote authenticated users to view sensitive Terraform output variables via log files. Un fallo de exposición de información en el paso de despliegue de Terraform en Octopus Deploy, en versiones anteriores a la 2019.1.8 (anteriores a la 2018.10.4 LTS) permite a los usuarios autenticados remotos visualizar variables de salida sensibles de Terraform mediante archivos de log. • https://github.com/OctopusDeploy/Issues/issues/5314 https://github.com/OctopusDeploy/Issues/issues/5315 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2018-12884
https://notcve.org/view.php?id=CVE-2018-12884
In Octopus Deploy 3.0 onwards (before 2018.6.7), an authenticated user with incorrect permissions may be able to create Accounts under the Infrastructure menu. Desde la versión 3.0 de Octopus Deploy (anteriores al 7/6/2018), un usuario autenticado con permisos incorrectos podría ser capaz de crear cuentas bajo el menú Infrastructure. • https://github.com/OctopusDeploy/Issues/issues/4674 • CWE-269: Improper Privilege Management •
CVE-2018-10581
https://notcve.org/view.php?id=CVE-2018-10581
In Octopus Deploy 3.4.x before 2018.4.7, an authenticated user is able to view/update/save variable values within the Tenant Variables area for Environments that do not exist within their associated Team scoping. This occurs in situations where this authenticated user also belongs to multiple teams, where one of the Teams has the VariableEdit permission or VariableView permissions for the Environment. En Octopus Deploy en versiones 3.4.x anteriores al 2018.4.7, un usuario autenticado puede visualizar, actualizar o guardar los valores de las variables en el área Tenant Variables para entornos que no existen en sus áreas de equipo asociadas. Esto ocurren en situaciones en donde este usuario autenticado también pertenece a varios equipos, donde uno de los equipos tiene un permiso VariableEdit o VariableView para el entorno. • https://github.com/OctopusDeploy/Issues/issues/4474 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-10550
https://notcve.org/view.php?id=CVE-2018-10550
In Octopus Deploy before 2018.4.7, target and tenant tag variable scopes were not checked against the list of tenants the user has access to. En Octopus Deploy en versiones anteriores a la 2018.4.7, los ámbitos de variables de etiqueta target y tenant no se compararon con la lista de tenants a los que el usuario tiene acceso. • https://github.com/OctopusDeploy/Issues/issues/4454 • CWE-269: Improper Privilege Management •