CVSS: 9.0EPSS: 1%CPEs: 9EXPL: 0CVE-2017-5200
https://notcve.org/view.php?id=CVE-2017-5200
26 Sep 2017 — Salt-api in SaltStack Salt before 2015.8.13, 2016.3.x before 2016.3.5, and 2016.11.x before 2016.11.2 allows arbitrary command execution on a salt-master via Salt's ssh_client. salt-api en SaltStack Salt en versiones anteriores a la 2015.8.13, las versiones 2016.3.x anteriores a 2016.3.5 y las versiones 2016.11.x anteriores a 2016.11.2 permite la ejecución arbitraria de comandos en un salt_master mediante el ssh_client de Salt. • https://docs.saltstack.com/en/2016.3/topics/releases/2015.8.13.html •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2015-4017
https://notcve.org/view.php?id=CVE-2015-4017
25 Aug 2017 — Salt before 2014.7.6 does not verify certificates when connecting via the aliyun, proxmox, and splunk modules. Salt en versiones anteriores a la 2014.7.6 no verifica los certificados cuando se conecta mediante los módulos aliyun, proxmox y splunk. • http://www.openwall.com/lists/oss-security/2015/05/19/2 • CWE-295: Improper Certificate Validation •
CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0CVE-2017-12791
https://notcve.org/view.php?id=CVE-2017-12791
23 Aug 2017 — Directory traversal vulnerability in minion id validation in SaltStack Salt before 2016.11.7 and 2017.7.x before 2017.7.1 allows remote minions with incorrect credentials to authenticate to a master via a crafted minion ID. Una vulnerabilidad de salto de directorio en la validación minion id en SaltStack Salt en versiones anteriores a la 2016.11.7 y 2017.7.x en versiones anteriores a la 2017.7.1 permite que minions remotos con credenciales incorrectas se autentiquen en un master mediante un ID minion manipu... • http://www.securityfocus.com/bid/100384 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.8EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8109
https://notcve.org/view.php?id=CVE-2017-8109
25 Apr 2017 — The salt-ssh minion code in SaltStack Salt 2016.11 before 2016.11.4 copied over configuration from the Salt Master without adjusting permissions, which might leak credentials to local attackers on configured minions (clients). En las versiones anteriores a la 2016.11.4 de Salt 2016.11 el código salt-ssh esta copiado sobre la configuración de Salt Master sin ajustar convenientemente los permisos, lo que permitiría filtrar credenciales a atacantes locales en minions (clientes) configurados. • http://www.securityfocus.com/bid/98095 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2015-1838
https://notcve.org/view.php?id=CVE-2015-1838
13 Apr 2017 — modules/serverdensity_device.py in SaltStack before 2014.7.4 does not properly handle files in /tmp. modules/serverdensity_device.py en SaltStack en versiones anteriores a 2014.7.4 no maneja correctamente archivos en /tmp. • http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175568.html • CWE-19: Data Processing Errors •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2015-1839
https://notcve.org/view.php?id=CVE-2015-1839
13 Apr 2017 — modules/chef.py in SaltStack before 2014.7.4 does not properly handle files in /tmp. modules/chef.py en SaltStack en versiones anteriores a 2014.7.4 no maneja correctamente archivos en /tmp. • http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175568.html • CWE-19: Data Processing Errors •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-9639
https://notcve.org/view.php?id=CVE-2016-9639
07 Feb 2017 — Salt before 2015.8.11 allows deleted minions to read or write to minions with the same id, related to caching. Salt en versiones anteriores a 2015.8.11 permite a minions eliminados para leer o escribir minions con el mismo id, relacionado con el almacenamiento en caché. • http://www.openwall.com/lists/oss-security/2016/11/25/2 • CWE-284: Improper Access Control •
CVSS: 5.6EPSS: 0%CPEs: 8EXPL: 0CVE-2016-3176
https://notcve.org/view.php?id=CVE-2016-3176
31 Jan 2017 — Salt before 2015.5.10 and 2015.8.x before 2015.8.8, when PAM external authentication is enabled, allows attackers to bypass the configured authentication service by passing an alternate service with a command sent to LocalClient. Salt en versiones anteriores a 2015.5.10 y 2015.8.x en versiones anteriores a 2015.8.8, cuando la autenticación externa de PAM está habilitada, permite a atacantes eludir el servicio de autenticación configurado pasando un servicio alternativo con un comando enviado a LocalClient. • https://docs.saltstack.com/en/latest/topics/releases/2015.5.10.html • CWE-287: Improper Authentication •
CVSS: 3.3EPSS: 0%CPEs: 1EXPL: 0CVE-2015-8034
https://notcve.org/view.php?id=CVE-2015-8034
30 Jan 2017 — The state.sls function in Salt before 2015.8.3 uses weak permissions on the cache data, which allows local users to obtain sensitive information by reading the file. La función state.sls en Salt en versiones anteriores a 2015.8.3 utiliza permisos débiles en los datos de caché, lo que permite a los usuarios locales obtener información sensible leyendo el archivo. • http://www.securityfocus.com/bid/96390 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.1EPSS: 0%CPEs: 5EXPL: 0CVE-2016-1866
https://notcve.org/view.php?id=CVE-2016-1866
12 Apr 2016 — Salt 2015.8.x before 2015.8.4 does not properly handle clear messages on the minion, which allows man-in-the-middle attackers to execute arbitrary code by inserting packets into the minion-master data stream. Salt 2015.8.x en versiones anteriores a 2015.8.4 no maneja correctamente mensajes en claro en el minion, lo que permite a atacantes man-in-the-middle ejecutar código arbitrario insertando paquetes en el flujo de datos del minion-master. • http://lists.opensuse.org/opensuse-updates/2016-03/msg00034.html • CWE-284: Improper Access Control •