CVSS: 9.8EPSS: 0%CPEs: 15EXPL: 0CVE-2017-14695
https://notcve.org/view.php?id=CVE-2017-14695
24 Oct 2017 — Directory traversal vulnerability in minion id validation in SaltStack Salt before 2016.3.8, 2016.11.x before 2016.11.8, and 2017.7.x before 2017.7.2 allows remote minions with incorrect credentials to authenticate to a master via a crafted minion ID. NOTE: this vulnerability exists because of an incomplete fix for CVE-2017-12791. Una vulnerabilidad de salto de directorio en la validación minion id en SaltStack Salt en versiones anteriores a la 2016.3.8, en versiones 2016.11.x anteriores a la 2016.11.8 y ve... • http://lists.opensuse.org/opensuse-updates/2017-10/msg00073.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 2%CPEs: 15EXPL: 0CVE-2017-14696
https://notcve.org/view.php?id=CVE-2017-14696
24 Oct 2017 — SaltStack Salt before 2016.3.8, 2016.11.x before 2016.11.8, and 2017.7.x before 2017.7.2 allows remote attackers to cause a denial of service via a crafted authentication request. SaltStack Salt en versiones anteriores a la 2016.3.8, en versiones 2016.11.x anteriores a la 2016.11.8 y versiones 2017.7.x anteriores a la 2017.7.2 permite que atacantes remotos provoquen una denegación de servicio (DoS) mediante una petición de autenticación manipulada. • http://lists.opensuse.org/opensuse-updates/2017-10/msg00073.html • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2017-5192
https://notcve.org/view.php?id=CVE-2017-5192
26 Sep 2017 — When using the local_batch client from salt-api in SaltStack Salt before 2015.8.13, 2016.3.x before 2016.3.5, and 2016.11.x before 2016.11.2, external authentication is not respected, enabling all authentication to be bypassed. Al utilizar el cliente local_batch de salt-api en SaltStack Salt en versiones anteriores a la 2015.8.13, las versiones 2016.3.x anteriores a 2016.3.5 y las versiones 2016.11.x anteriores a 2016.11.2, no se respeta la autenticación externa, por lo que se permite la omisión de todas la... • https://docs.saltstack.com/en/2016.3/topics/releases/2015.8.13.html • CWE-287: Improper Authentication •
CVSS: 9.0EPSS: 1%CPEs: 9EXPL: 0CVE-2017-5200
https://notcve.org/view.php?id=CVE-2017-5200
26 Sep 2017 — Salt-api in SaltStack Salt before 2015.8.13, 2016.3.x before 2016.3.5, and 2016.11.x before 2016.11.2 allows arbitrary command execution on a salt-master via Salt's ssh_client. salt-api en SaltStack Salt en versiones anteriores a la 2015.8.13, las versiones 2016.3.x anteriores a 2016.3.5 y las versiones 2016.11.x anteriores a 2016.11.2 permite la ejecución arbitraria de comandos en un salt_master mediante el ssh_client de Salt. • https://docs.saltstack.com/en/2016.3/topics/releases/2015.8.13.html •
CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0CVE-2017-12791
https://notcve.org/view.php?id=CVE-2017-12791
23 Aug 2017 — Directory traversal vulnerability in minion id validation in SaltStack Salt before 2016.11.7 and 2017.7.x before 2017.7.1 allows remote minions with incorrect credentials to authenticate to a master via a crafted minion ID. Una vulnerabilidad de salto de directorio en la validación minion id en SaltStack Salt en versiones anteriores a la 2016.11.7 y 2017.7.x en versiones anteriores a la 2017.7.1 permite que minions remotos con credenciales incorrectas se autentiquen en un master mediante un ID minion manipu... • http://www.securityfocus.com/bid/100384 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.8EPSS: 0%CPEs: 7EXPL: 0CVE-2017-8109
https://notcve.org/view.php?id=CVE-2017-8109
25 Apr 2017 — The salt-ssh minion code in SaltStack Salt 2016.11 before 2016.11.4 copied over configuration from the Salt Master without adjusting permissions, which might leak credentials to local attackers on configured minions (clients). En las versiones anteriores a la 2016.11.4 de Salt 2016.11 el código salt-ssh esta copiado sobre la configuración de Salt Master sin ajustar convenientemente los permisos, lo que permitiría filtrar credenciales a atacantes locales en minions (clientes) configurados. • http://www.securityfocus.com/bid/98095 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •