CVSS: 9.8EPSS: 1%CPEs: 2EXPL: 0CVE-2017-12791
https://notcve.org/view.php?id=CVE-2017-12791
23 Aug 2017 — Directory traversal vulnerability in minion id validation in SaltStack Salt before 2016.11.7 and 2017.7.x before 2017.7.1 allows remote minions with incorrect credentials to authenticate to a master via a crafted minion ID. Una vulnerabilidad de salto de directorio en la validación minion id en SaltStack Salt en versiones anteriores a la 2016.11.7 y 2017.7.x en versiones anteriores a la 2017.7.1 permite que minions remotos con credenciales incorrectas se autentiquen en un master mediante un ID minion manipu... • http://www.securityfocus.com/bid/100384 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2015-1838
https://notcve.org/view.php?id=CVE-2015-1838
13 Apr 2017 — modules/serverdensity_device.py in SaltStack before 2014.7.4 does not properly handle files in /tmp. modules/serverdensity_device.py en SaltStack en versiones anteriores a 2014.7.4 no maneja correctamente archivos en /tmp. • http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175568.html • CWE-19: Data Processing Errors •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2015-1839
https://notcve.org/view.php?id=CVE-2015-1839
13 Apr 2017 — modules/chef.py in SaltStack before 2014.7.4 does not properly handle files in /tmp. modules/chef.py en SaltStack en versiones anteriores a 2014.7.4 no maneja correctamente archivos en /tmp. • http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175568.html • CWE-19: Data Processing Errors •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2016-9639
https://notcve.org/view.php?id=CVE-2016-9639
07 Feb 2017 — Salt before 2015.8.11 allows deleted minions to read or write to minions with the same id, related to caching. Salt en versiones anteriores a 2015.8.11 permite a minions eliminados para leer o escribir minions con el mismo id, relacionado con el almacenamiento en caché. • http://www.openwall.com/lists/oss-security/2016/11/25/2 • CWE-284: Improper Access Control •
CVSS: 5.6EPSS: 0%CPEs: 8EXPL: 0CVE-2016-3176
https://notcve.org/view.php?id=CVE-2016-3176
31 Jan 2017 — Salt before 2015.5.10 and 2015.8.x before 2015.8.8, when PAM external authentication is enabled, allows attackers to bypass the configured authentication service by passing an alternate service with a command sent to LocalClient. Salt en versiones anteriores a 2015.5.10 y 2015.8.x en versiones anteriores a 2015.8.8, cuando la autenticación externa de PAM está habilitada, permite a atacantes eludir el servicio de autenticación configurado pasando un servicio alternativo con un comando enviado a LocalClient. • https://docs.saltstack.com/en/latest/topics/releases/2015.5.10.html • CWE-287: Improper Authentication •
CVSS: 3.3EPSS: 0%CPEs: 1EXPL: 0CVE-2015-8034
https://notcve.org/view.php?id=CVE-2015-8034
30 Jan 2017 — The state.sls function in Salt before 2015.8.3 uses weak permissions on the cache data, which allows local users to obtain sensitive information by reading the file. La función state.sls en Salt en versiones anteriores a 2015.8.3 utiliza permisos débiles en los datos de caché, lo que permite a los usuarios locales obtener información sensible leyendo el archivo. • http://www.securityfocus.com/bid/96390 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.4EPSS: 0%CPEs: 1EXPL: 0CVE-2014-3563
https://notcve.org/view.php?id=CVE-2014-3563
22 Aug 2014 — Multiple unspecified vulnerabilities in Salt (aka SaltStack) before 2014.1.10 allow local users to have an unspecified impact via vectors related to temporary file creation in (1) seed.py, (2) salt-ssh, or (3) salt-cloud. Múltiples vulnerabilidades no especificadas en Salt (también conocido como SaltStack) anterior a 2014.1.10 permiten a usuarios locales tener un impacto no especificado a través de vectores relacionados con la creación de ficheros temporales en (1) seed.py, (2) salt-ssh, o (3) salt-cloud. • http://docs.saltstack.com/en/latest/topics/releases/2014.1.10.html • CWE-59: Improper Link Resolution Before File Access ('Link Following') •
CVSS: 10.0EPSS: 1%CPEs: 11EXPL: 0CVE-2013-6617
https://notcve.org/view.php?id=CVE-2013-6617
05 Nov 2013 — The salt master in Salt (aka SaltStack) 0.11.0 through 0.17.0 does not properly drop group privileges, which makes it easier for remote attackers to gain privileges. El "salt master" en Salt (aka SaltStack) 0.11.0 hasta la versión 0.17.0 no libera adecuadamente los privilegios de grupo, lo que hace más fácil para un atacante remoto obtener privilegios. • http://docs.saltstack.com/topics/releases/0.17.1.html • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.9EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4439
https://notcve.org/view.php?id=CVE-2013-4439
05 Nov 2013 — Salt (aka SaltStack) before 0.15.0 through 0.17.0 allows remote authenticated minions to impersonate arbitrary minions via a crafted minion with a valid key. Salt (también conocido como SaltStack) anterior a la versión 0.15.0 hasta la versión 0.17.0 permite a minions remotos autenticados hacerse pasar por minions arbitrarios a través de uno manipulado sin llave válida. • http://docs.saltstack.com/topics/releases/0.17.1.html • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 10.0EPSS: 0%CPEs: 7EXPL: 0CVE-2013-4435
https://notcve.org/view.php?id=CVE-2013-4435
05 Nov 2013 — Salt (aka SaltStack) 0.15.0 through 0.17.0 allows remote authenticated users who are using external authentication or client ACL to execute restricted routines by embedding the routine in another routine. Salt (conocido como SaltStack) 0.15.0 hasta 0.17.0 permite a usuarios remotos autenticados que utilizan autenticación externa o cliente ACL ejecutar rutinas restringidas mediante la inclusión de la rutina en otra rutina. • http://docs.saltstack.com/topics/releases/0.17.1.html • CWE-287: Improper Authentication •