CVE-2013-3703 – No write permission check in change_role command
https://notcve.org/view.php?id=CVE-2013-3703
The controller of the Open Build Service API prior to version 2.4.4 is missing a write permission check, allowing an authenticated attacker to add or remove user roles from packages and/or project meta data. El controlador de Open Build Service API en versiones anteriores a la 2.4.4 carece de una comprobación de permisos de escritura, lo que permite que un atacante autenticado añada o elimine roles de usuario de los metadatos de paquetes o proyectos. • https://bugzilla.suse.com/show_bug.cgi?id=828256 https://github.com/openSUSE/open-build-service/commit/06ad7fdbdd7eb2fef8947d14c4cdd00d8f6387b1 • CWE-275: Permission Issues CWE-862: Missing Authorization •
CVE-2014-0594 – CSRF protection incorrectly disabled
https://notcve.org/view.php?id=CVE-2014-0594
In the Open Build Service (OBS) before version 2.4.6 the CSRF protection is incorrectly disabled in the web interface, allowing for requests without the user's consent. En Open Build Service (OBS) en versiones anteriores a la 2.4.6, la protección CSRF está incorrectamente deshabilitada en la interfaz web, lo que permite realizar peticiones sin el consentimiento del usuario. • https://bugzilla.suse.com/show_bug.cgi?id=870606 https://github.com/openSUSE/open-build-service/commit/2188c059b67b82171d0e28ef59f77e62d22a09d8 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-7688 – Open Build Service accepts arbitrary reviews
https://notcve.org/view.php?id=CVE-2018-7688
A missing permission check in the review handling of openSUSE Open Build Service before 2.9.3 allowed all authenticated users to modify sources in projects where they do not have write permissions. La falta de una comprobación de permisos en la gestión de openSUSE Open Build Service en versiones anteriores a la 2.9.3 permitía que todos los usuarios autenticados modifiquen las fuentes en proyectos en los que no tienen permisos de escritura. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2018-7688 https://github.com/openSUSE/open-build-service/commit/b15cf19e9e01115f653c76ffdc8f54cd97566553 https://lists.opensuse.org/opensuse-buildservice/2018-06/msg00014.html • CWE-862: Missing Authorization •
CVE-2018-7689 – Open Build Service arbitrary package modification
https://notcve.org/view.php?id=CVE-2018-7689
Lack of permission checks in the InitializeDevelPackage function in openSUSE Open Build Service before 2.9.3 allowed authenticated users to modify packages where they do not have write permissions. La falta de una comprobación de permisos en la función InitializeDevelPackage en openSUSE Open Build Service en versiones anteriores a la 2.9.3 permitía que los usuarios autenticados modifiquen los paquetes donde no tienen permisos de escritura. • https://bugzilla.suse.com/show_bug.cgi?id=CVE-2018-7689 https://github.com/openSUSE/open-build-service/commit/990ef7cccef6f38fc1d1a1bb22a08e174dcba43b https://lists.opensuse.org/opensuse-buildservice/2018-06/msg00014.html • CWE-862: Missing Authorization •
CVE-2011-3178 – openbuildservice webui code injection
https://notcve.org/view.php?id=CVE-2011-3178
In the web ui of the openbuildservice before 2.3.0 a code injection of the project rebuildtimes statistics could be used by authorized attackers to execute shellcode. En la interfaz de usuario web de openbuildservice, en versiones anteriores a la 2.3.0, una inyección de código de las estadísticas de tiempo de reconstrucción del proyecto podría ser utilizada por atacantes autorizados para ejecutar código shell. • https://bugzilla.suse.com/show_bug.cgi?id=723788 https://github.com/openSUSE/open-build-service/commit/cbfe2ed36dd77c0843702935dea7f914bb599201 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-94: Improper Control of Generation of Code ('Code Injection') •