CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1117 – ovirt-ansible-roles: passwords revealed in ansible log when provisioning new provider
https://notcve.org/view.php?id=CVE-2018-1117
ovirt-ansible-roles before version 1.0.6 has a vulnerability due to a missing no_log directive, resulting in the 'Add oVirt Provider to ManageIQ/CloudForms' playbook inadvertently disclosing admin passwords in the provisioning log. In an environment where logs are shared with other parties, this could lead to privilege escalation. ovirt-ansible-roles en versiones anteriores a la 1.0.6 tiene una vulnerabilidad debido a la falta de la directiva no_log, lo que resulta en que el procedimiento "Add oVirt Provider to ManageIQ/CloudForms" revela accidentalmente contraseñas de administrador en el registro de aprovisionamiento. En un entorno en el que se comparten registros con otras partes, esto podría conducir a un escalado de privilegios. Due to a missing no_log directive, the 'Add oVirt Provider to ManageIQ/CloudForms' playbook inadvertently disclosed admin passwords in the provisioning log. In an environment where logs are shared with other parties, this could lead to privilege escalation. • http://www.securityfocus.com/bid/104186 https://access.redhat.com/errata/RHSA-2018:1452 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1117 https://access.redhat.com/security/cve/CVE-2018-1117 https://bugzilla.redhat.com/show_bug.cgi?id=1574776 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.7EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1074
https://notcve.org/view.php?id=CVE-2018-1074
ovirt-engine API and administration web portal before versions 4.2.2.5, 4.1.11.2 is vulnerable to an exposure of Power Management credentials, including cleartext passwords to Host Administrators. A Host Administrator could use this flaw to gain access to the power management systems of hosts they control. La API y el portal de administración web de ovirt-engine en versiones anteriores a la 4.2.2.5 y la 4.1.11.2 es vulnerable a una exposición de credenciales de Power Management, incluyendo contraseñas en texto claro para Host Administrators. Un Host Administrator podría utilizar este fallo para obtener acceso a los sistemas de gestión de energía de los hosts que controlan. • https://access.redhat.com/errata/RHBA-2018:1219 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1074 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-522: Insufficiently Protected Credentials •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-1000018
https://notcve.org/view.php?id=CVE-2018-1000018
An information disclosure in ovirt-hosted-engine-setup prior to 2.2.7 reveals the root user's password in the log file. Una revelación de información en ovirt-hosted-engine-setup, en versiones anteriores a la 2.2.7 revela la contraseña del usuario root en el archivo log. • https://bugzilla.redhat.com/show_bug.cgi?id=1536941 https://gerrit.ovirt.org/#/c/86635 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 30EXPL: 0CVE-2014-7851
https://notcve.org/view.php?id=CVE-2014-7851
oVirt 3.2.2 through 3.5.0 does not invalidate the restapi session after logout from the webadmin, which allows remote authenticated users with knowledge of another user's session data to gain that user's privileges by replacing their session token with that of another user. oVirt 3.2.2 hasta la versión 3.5.0 no invalida la sesión restapi tras cerrar sesión desde el webadmin, lo que permite que usuarios remotos autenticados con conocimientos sobre los datos de sesión de otro usuario obtengan los privilegios de ese usuario reemplazando su token de sesión por el de otro usuario. • https://bugzilla.redhat.com/show_bug.cgi?id=1161730 https://bugzilla.redhat.com/show_bug.cgi?id=1165311 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0CVE-2014-8170
https://notcve.org/view.php?id=CVE-2014-8170
ovirt_safe_delete_config in ovirtfunctions.py and other unspecified locations in ovirt-node 3.0.0-474-gb852fd7 as packaged in Red Hat Enterprise Virtualization 3 do not properly quote input strings, which allows remote authenticated users and physically proximate attackers to execute arbitrary commands via a ; (semicolon) in an input string. ovirt_safe_delete_config en ovirtfunctions.py y otras localizaciones sin especificar en ovirt-node 3.0.0-474-gb852fd7 tal y como se incluye en Red Hat Enterprise Virtualization 3 no emplea comillas correctamente en las cadenas de entrada, lo que permite que los usuarios autenticados y atacantes cercanos físicamente puedan ejecutar comandos arbitrarios mediante un ";" (punto y coma) en una cadena de ayuda. • https://bugzilla.redhat.com/show_bug.cgi?id=1194745 https://gerrit.ovirt.org/gitweb?p=ovirt-node.git%3Ba=blob%3Bf=src/ovirtnode/ovirtfunctions.py%3Bh=caef7ef019ca12b49aa3c030792538956fb4caad%3Bhb=e11e02cd9256c854dd0419515097637d6829b4f1#l1091 • CWE-134: Use of Externally-Controlled Format String •