CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2011-3178 – openbuildservice webui code injection
https://notcve.org/view.php?id=CVE-2011-3178
In the web ui of the openbuildservice before 2.3.0 a code injection of the project rebuildtimes statistics could be used by authorized attackers to execute shellcode. En la interfaz de usuario web de openbuildservice, en versiones anteriores a la 2.3.0, una inyección de código de las estadísticas de tiempo de reconstrucción del proyecto podría ser utilizada por atacantes autorizados para ejecutar código shell. • https://bugzilla.suse.com/show_bug.cgi?id=723788 https://github.com/openSUSE/open-build-service/commit/cbfe2ed36dd77c0843702935dea7f914bb599201 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-5188 – OBS worker VM escape via relative symbolic links
https://notcve.org/view.php?id=CVE-2017-5188
The bs_worker code in open build service before 20170320 followed relative symlinks, allowing reading of files outside of the package source directory during build, allowing leakage of private information. El código bs_worker en open build service, anterior a 20170320, seguía symlinks relativos, lo que permitía la lectura de archivos fuera del directorio origen del paquete durante la build. Esto permitía el filtrado de información privada. • https://bugzilla.suse.com/show_bug.cgi?id=1029824 https://github.com/openSUSE/open-build-service/commit/ba27c91351878bc297ec4baba0bd488a2f3b568d https://www.suse.com/de-de/security/cve/CVE-2017-5188 • CWE-59: Improper Link Resolution Before File Access ('Link Following') CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9268 – open-build-service retrigger / wipebinaries hitting the wrong project bypassing access permissions
https://notcve.org/view.php?id=CVE-2017-9268
In the open build service before 201707022 the wipetrigger and rebuild actions checked the wrong project for permissions, allowing authenticated users to cause operations on projects where they did not have permissions leading to denial of service (resource consumption). En open build service, en versiones anteriores a la 201707022, las acciones wipetrigger y rebuild comprobaban el proyecto equivocado en busca de permisos. Esto permitía que usuarios autenticados operasen en proyectos en los que no tenían permisos, lo que conducía a una denegación de servicio (consumo de recursos). • https://bugzilla.suse.com/show_bug.cgi?id=1045519 https://github.com/openSUSE/open-build-service/pull/3267 • CWE-285: Improper Authorization CWE-732: Incorrect Permission Assignment for Critical Resource •