CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2013-4966
https://notcve.org/view.php?id=CVE-2013-4966
07 Mar 2014 — The master external node classification script in Puppet Enterprise before 3.2.0 does not verify the identity of consoles, which allows remote attackers to create arbitrary classifications on the master by spoofing a console. El script maestro de clasificación de nodo externo en Puppet Enterprise anterior a 3.2.0 no verifica la identidad de consolas, lo que permite a atacantes remotos crear clasificaciones arbitrarias en el maestro mediante la falsificación de una consola. • http://puppetlabs.com/security/cve/cve-2013-4966 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2013-4971
https://notcve.org/view.php?id=CVE-2013-4971
07 Mar 2014 — Puppet Enterprise before 3.2.0 does not properly restrict access to node endpoints in the console, which allows remote attackers to obtain sensitive information via unspecified vectors. Puppet Enterprise anterior a 3.2.0 no restringe debidamente acceso a Endpoints de nodo en la consola, lo que permite a atacantes remotos obtener información sensible a través de vectores no especificados. • http://puppetlabs.com/security/cve/cve-2013-4971 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.0EPSS: 0%CPEs: 11EXPL: 0CVE-2013-4969 – Mandriva Linux Security Advisory 2014-040
https://notcve.org/view.php?id=CVE-2013-4969
03 Jan 2014 — Puppet before 3.3.3 and 3.4 before 3.4.1 and Puppet Enterprise (PE) before 2.8.4 and 3.1 before 3.1.1 allows local users to overwrite arbitrary files via a symlink attack on unspecified files. Puppet anteriores a 3.3.3. y 3.4 anteriores a 3.4.1 y Puppet Enterprise (PE) anteriores a 2.8.4 y 3.1 anteriores a 3.1.1 permite a usuarios locales sobreescribir ficheros arbitrarios a través de un ataque de enlaces simbólicos en ficheros no especificados. Puppet before 3.3.3 and 3.4 before 3.4.1 and Puppet Enterprise... • http://puppetlabs.com/security/cve/cve-2013-4969 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 8.8EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4957
https://notcve.org/view.php?id=CVE-2013-4957
25 Oct 2013 — The dashboard report in Puppet Enterprise before 3.0.1 allows attackers to execute arbitrary YAML code via a crafted report-specific type. El panel de informe en Puppet Enterprise anterior a la versión 3.0.1 permite a atacantes remotos ejecutar código arbitrario YAML a través de un tipo de informe específico. • http://osvdb.org/98639 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2013-4965
https://notcve.org/view.php?id=CVE-2013-4965
25 Oct 2013 — Puppet Enterprise before 3.1.0 does not properly restrict the number of authentication attempts by a console account, which makes it easier for remote attackers to bypass intended access restrictions via a brute-force attack. Puppet Enterprise anteriores a 3.1.0 no restringe el número de intentos de autenticación apropiadamente a traves de consola, lo que permite a un atacante remoto sortear las restricciones de acceso a traves de ataques de fuerza bruta. • http://osvdb.org/98640 • CWE-287: Improper Authentication •
CVSS: 9.8EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4762
https://notcve.org/view.php?id=CVE-2013-4762
20 Aug 2013 — Puppet Enterprise before 3.0.1 does not sufficiently invalidate a session when a user logs out, which might allow remote attackers to hijack sessions by obtaining an old session ID. Puppet Enterprise anterior a 3.0.1, no invalida adecuadamente na sesión cuando el usuario la cierra, lo que podría permitir a atacantes remotos secuestrarla a través de un ID de sesión obsoleto. • http://puppetlabs.com/security/cve/cve-2013-4762 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4955
https://notcve.org/view.php?id=CVE-2013-4955
20 Aug 2013 — Open redirect vulnerability in the login page in Puppet Enterprise before 3.0.1 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a URL in the service parameter. Vulnerabilidad de redirección abierta en la página de login de Puppet Enterprise anterior a 3.0.1, permite a atacantes remotos redireccionar a usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing a través de una URL en el parámetro "service". • http://puppetlabs.com/security/cve/cve-2013-4955 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4958
https://notcve.org/view.php?id=CVE-2013-4958
20 Aug 2013 — Puppet Enterprise before 3.0.1 does not use a session timeout, which makes it easier for attackers to gain privileges by leveraging an unattended workstation. Puppet Enterprise anterior a 3.0.1, no utiliza un timeout para las sesiones, lo que facilita a atacantes la obtención de privilegios aprovechando un PC desatendido físicamente. • http://puppetlabs.com/security/cve/cve-2013-4958 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4961
https://notcve.org/view.php?id=CVE-2013-4961
20 Aug 2013 — Puppet Enterprise before 3.0.1 includes version information for the Apache and Phusion Passenger products in its HTTP response headers, which allows remote attackers to obtain sensitive information. Puppet Enterprise anterior a 3.0.1, incluye información de la versión para los productos Apache y Phusion Passenger en las cabeceras de respuesta HTTP, lo que permite a atacantes remotos la obtención de información sensible. • http://puppetlabs.com/security/cve/cve-2013-4961 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 9.8EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4962
https://notcve.org/view.php?id=CVE-2013-4962
20 Aug 2013 — The reset password page in Puppet Enterprise before 3.0.1 does not force entry of the current password, which allows attackers to modify user passwords by leveraging session hijacking, an unattended workstation, or other vectors. La pagina de restaurar contraseñas en Puppet Enterprise anterior a v3.0.1 no fuerza la entrada de la contraseña actual, lo que permite a los atacantes modificar las contraseñas de usuario mediante el aprovechamiento de secuestro de sesión, utilizando un equipo de trabajo sin superv... • http://puppetlabs.com/security/cve/cve-2013-4962 • CWE-255: Credentials Management Errors •