CVSS: 8.4EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11277 – Volume Services is vulnerable to an LDAP injection attack
https://notcve.org/view.php?id=CVE-2019-11277
Cloud Foundry NFS Volume Service, 1.7.x versions prior to 1.7.11 and 2.x versions prior to 2.3.0, is vulnerable to LDAP injection. A remote authenticated malicious space developer can potentially inject LDAP filters via service instance creation, facilitating the malicious space developer to deny service or perform a dictionary attack. Cloud Foundry NFS Volume Service, versiones 1.7.x anteriores a 1.7.11 y versiones 2.x anteriores a 2.3.0, es vulnerable a la inyección LDAP. Un desarrollador de espacio malicioso autenticado remoto puede inyectar potencialmente filtros LDAP mediante la creación de instancias de servicio, facilitando al desarrollador de espacio malicioso denegar el servicio o realizar un ataque de diccionario. • https://www.cloudfoundry.org/blog/cve-2019-11277 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') •
CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2019-3801 – Java Projects using HTTP to fetch dependencies
https://notcve.org/view.php?id=CVE-2019-3801
Cloud Foundry cf-deployment, versions prior to 7.9.0, contain java components that are using an insecure protocol to fetch dependencies when building. A remote unauthenticated malicious attacker could hijack the DNS entry for the dependency, and inject malicious code into the component. Cloud Foundry cf-deployment versiones anteriores a 7.9.0, contiene componentes java que son empleados en un protocolo inseguro cuando se construyen dependencias. Un atacante malicioso remoto sin autenticar, podría secuestrar la entrada DNS de la dependencia e inyectar código malicioso en el componente. • http://www.securityfocus.com/bid/108104 https://www.cloudfoundry.org/blog/cve-2019-3801 • CWE-319: Cleartext Transmission of Sensitive Information CWE-494: Download of Code Without Integrity Check •
CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1265
https://notcve.org/view.php?id=CVE-2018-1265
Cloud Foundry Diego, release versions prior to 2.8.0, does not properly sanitize file paths in tar and zip files headers. A remote attacker with CF admin privileges can upload a malicious buildpack that will allow a complete takeover of a Diego Cell VM and access to all apps running on that Diego Cell. Cloud Foundry Diego, en versiones anteriores a la 2.8.0, no sanea correctamente las rutas de archivo en las cabeceras de archivos tar y zip. Un atacante remoto con privilegios de administrador CF puede subir un buildpack malicioso que permitirá la toma de control total de una máquina virtual Diego Cell, así como el acceso a todas las aplicaciones que se ejecuten en esa Diego Cell. • https://www.cloudfoundry.org/blog/cve-2018-1265 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1193
https://notcve.org/view.php?id=CVE-2018-1193
Cloud Foundry routing-release, versions prior to 0.175.0, lacks sanitization for user-provided X-Forwarded-Proto headers. A remote user can set the X-Forwarded-Proto header in a request to potentially bypass an application requirement to only respond over secure connections. Cloud Foundry routing-release, en versiones anteriores a la 0.175.0, carece de saneamiento para cabeceras X-Forwarded-Proto proporcionadas por el usuario. Un usuario remoto puede establecer la cabecera X-Forwarded-Proto en una petición para que omita un requisito de la aplicación que indica que solo puede responder en conexiones seguras. • https://www.cloudfoundry.org/blog/cve-2018-1193 •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1277
https://notcve.org/view.php?id=CVE-2018-1277
Cloud Foundry Garden-runC, versions prior to 1.13.0, does not correctly enforce disc quotas for Docker image layers. A remote authenticated user may push an app with a malicious Docker image that will consume more space on a Diego cell than allocated in their quota, potentially causing a DoS against the cell. Cloud Foundry Garden-runC, en versiones anteriores a la 1.13.0, no aplica correctamente las cuotas de disco para las capas de imagen Docker. Un usuario autenticado remoto podría insertar una aplicación con una imagen Docker maliciosa que consumirá más espacio en una cell Diego que el asignado en su cuota, provocando una potencial denegación de servicio (DoS) contra la cell. • https://www.cloudfoundry.org/blog/cve-2018-1277 • CWE-400: Uncontrolled Resource Consumption •