CVSS: 9.8EPSS: 0%CPEs: 8EXPL: 0CVE-2016-3086
https://notcve.org/view.php?id=CVE-2016-3086
The YARN NodeManager in Apache Hadoop 2.6.x before 2.6.5 and 2.7.x before 2.7.3 can leak the password for credential store provider used by the NodeManager to YARN Applications. YARN NodeManager en Apache Hadoop en versiones 2.6.x anteriores a la 2.6.5 y 2.7.x anteriores a la 2.7.3 puede filtrar la contraseña del proveedor de almacén de contraseñas utilizado por el NodeManager en aplicaciones YARN. • http://mail-archives.apache.org/mod_mbox/hadoop-general/201701.mbox/%3C0ed32746-5a53-9051-5877-2b1abd88beb6%40apache.org%3E http://www.securityfocus.com/bid/95335 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2016-5001
https://notcve.org/view.php?id=CVE-2016-5001
This is an information disclosure vulnerability in Apache Hadoop before 2.6.4 and 2.7.x before 2.7.2 in the short-circuit reads feature of HDFS. A local user on an HDFS DataNode may be able to craft a block token that grants unauthorized read access to random files by guessing certain fields in the token. Existe una vulnerabilidad de divulgación de información en Apache Hadoop en versiones anteriores a la 2.6.4 y en 2.7.x anteriores a la 2.7.2 en la característica short-circuit reads en HDFS. Un usuario local en HDFS DataNode podría ser capaz de crear un token block que concede acceso de lectura no autorizado a archivos aleatorios al adivinar algunos campos en el token. • http://seclists.org/oss-sec/2016/q4/698 http://www.securityfocus.com/bid/94950 https://lists.apache.org/thread.html/r66de86b9a608c1da70b2d27d765c11ec88edf6e5dd6f379ab33e072a%40%3Cuser.flink.apache.org%3E • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.5EPSS: 0%CPEs: 3EXPL: 0CVE-2017-7669
https://notcve.org/view.php?id=CVE-2017-7669
In Apache Hadoop 2.8.0, 3.0.0-alpha1, and 3.0.0-alpha2, the LinuxContainerExecutor runs docker commands as root with insufficient input validation. When the docker feature is enabled, authenticated users can run commands as root. En Hadoop versiones 2.8.0, 3.0.0-alpha1 y 3.0.0-alpha2 de Apache, el LinuxContainerExecutor ejecuta comandos docker como root con una comprobación de entrada insuficiente. Cuando la funcionalidad docker está habilitada, los usuarios autenticados pueden ejecutar comandos como root. • http://www.securityfocus.com/bid/98795 https://mail-archives.apache.org/mod_mbox/hadoop-user/201706.mbox/%3C4A2FDA56-491B-4C2A-915F-C9D4A4BDB92A%40apache.org%3E • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3161
https://notcve.org/view.php?id=CVE-2017-3161
The HDFS web UI in Apache Hadoop before 2.7.0 is vulnerable to a cross-site scripting (XSS) attack through an unescaped query parameter. El interface web HDFS de Apache Hadoop anterior a 2.7.0 es vulnerable a un ataque cross-site scripting a través de un parámetro mal filtrado. • http://www.securityfocus.com/bid/98025 https://lists.apache.org/thread.html/r127f75748fcabc63bc5a1bec6885753eb9b2bed803b6ed7bd46f965b%40%3Cuser.hadoop.apache.org%3E https://lists.apache.org/thread.html/r66de86b9a608c1da70b2d27d765c11ec88edf6e5dd6f379ab33e072a%40%3Cuser.flink.apache.org%3E https://s.apache.org/4MQm • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3162
https://notcve.org/view.php?id=CVE-2017-3162
HDFS clients interact with a servlet on the DataNode to browse the HDFS namespace. The NameNode is provided as a query parameter that is not validated in Apache Hadoop before 2.7.0. Vulnerabilidad en HDFS de Hadoop en versiones anteriores a la 2.7.0, a través de la cual clientes de HDFS podrían interactuar con un servlet en el DataNode para poder explorar el espacio de nombres HDFS. El NameNode se proporcionaría como un parámetro de consulta que no estaría validado en las versiones mencionadas de Apache Hadoop. • http://www.securityfocus.com/bid/98017 https://lists.apache.org/thread.html/r127f75748fcabc63bc5a1bec6885753eb9b2bed803b6ed7bd46f965b%40%3Cuser.hadoop.apache.org%3E https://lists.apache.org/thread.html/r66de86b9a608c1da70b2d27d765c11ec88edf6e5dd6f379ab33e072a%40%3Cuser.flink.apache.org%3E https://s.apache.org/k2ss • CWE-20: Improper Input Validation •