CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-4862
https://notcve.org/view.php?id=CVE-2018-4862
In Octopus Deploy versions 3.2.11 - 4.1.5 (fixed in 4.1.6), an authenticated user with ProcessEdit permission could reference an Azure account in such a way as to bypass the scoping restrictions, resulting in a potential escalation of privileges. En Octopus Deploy desde la versión 3.2.11 hasta la 4.1.5 (solucionado en la versión 4.1.6), un usuario autenticado con permiso ProcessEdit podría hacer referencia a una cuenta de Azure de tal manera que se puedan omitir las restricciones de alcance, resultando en un posible escalado de privilegios. • https://github.com/OctopusDeploy/Issues/issues/4134 • CWE-269: Improper Privilege Management •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-17665
https://notcve.org/view.php?id=CVE-2017-17665
In Octopus Deploy before 4.1.3, the machine update process doesn't check that the user has access to all environments. This allows an access-control bypass because the set of environments to which a machine is scoped may include environments in which the user lacks access. En Octopus Deploy en versiones anteriores a la 4.1.3, el proceso de actualización de la máquina no comprueba que el usuario tenga acceso a todos los entornos. Esto permite la omisión del control de acceso debido a que el conjunto de entornos en los que se encuentra podrían incluir entornos en los que el usuario no tienen acceso. • https://github.com/OctopusDeploy/Issues/issues/4073 • CWE-862: Missing Authorization •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2017-16810
https://notcve.org/view.php?id=CVE-2017-16810
Cross-site scripting (XSS) vulnerability in the All Variables tab in Octopus Deploy 3.4.0-3.13.6 (fixed in 3.13.7) allows remote attackers to inject arbitrary web script or HTML via the Variable Set Name parameter. Vulnerabilidad Cross-Site Scripting (XSS) en la pestaña All Variables de Octopus Deploy, en versiones anteriores a la 3.4.0-3.13.6 (solucionado en la 3.13.7), permite que atacantes remotos inyecten scripts web o HTLM arbitrarios mediante el parámetro Variable Set Name. • https://github.com/OctopusDeploy/Issues/issues/3919 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2017-16801
https://notcve.org/view.php?id=CVE-2017-16801
Cross-site scripting (XSS) vulnerability in Octopus Deploy 3.7.0-3.17.13 (fixed in 3.17.14) allows remote authenticated users to inject arbitrary web script or HTML via the Step Template Name parameter. Vulnerabilidad Cross-Site Scripting (XSS) en versiones anteriores a la 3.7.0-3.17.13 (solucionado en la 3.17.14) de Octopus Deploy permite que usuarios remotos autenticados inyecten scripts web o HTLM arbitrarios mediante el parámetro Step Template Name. • https://github.com/OctopusDeploy/Issues/issues/3915 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-15609
https://notcve.org/view.php?id=CVE-2017-15609
Octopus before 3.17.7 allows attackers to obtain sensitive cleartext information by reading a variable JSON file in certain situations involving Offline Drop Targets. Octopus, en versiones anteriores a la 3.17.7, permite a los atacantes obtener información sensible en texto en claro leyendo un archivo JSON variable en ciertas situaciones en que impliquen la opción de despliegue de paquetes a objetivos sin conexión, llamada Offline Drop Targets. • https://github.com/OctopusDeploy/Issues/issues/3868 • CWE-311: Missing Encryption of Sensitive Data •