CVE-2021-31820
https://notcve.org/view.php?id=CVE-2021-31820
In Octopus Server after version 2018.8.2 if the Octopus Server Web Request Proxy is configured with authentication, the password is shown in plaintext in the UI. En Octopus Server después de la versión 2018.8.2, si el Proxy de Peticiones Web de Octopus Server está configurado con autenticación, la contraseña es mostrado en texto plano en la UI. • https://advisories.octopus.com/adv/2021-07---Proxy-Password-Stored-in-Plaintext-%28CVE-2021-31820%29.2193063986.html • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2019-8944
https://notcve.org/view.php?id=CVE-2019-8944
An Information Exposure issue in the Terraform deployment step in Octopus Deploy before 2019.1.8 (and before 2018.10.4 LTS) allows remote authenticated users to view sensitive Terraform output variables via log files. Un fallo de exposición de información en el paso de despliegue de Terraform en Octopus Deploy, en versiones anteriores a la 2019.1.8 (anteriores a la 2018.10.4 LTS) permite a los usuarios autenticados remotos visualizar variables de salida sensibles de Terraform mediante archivos de log. • https://github.com/OctopusDeploy/Issues/issues/5314 https://github.com/OctopusDeploy/Issues/issues/5315 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2018-18850
https://notcve.org/view.php?id=CVE-2018-18850
In Octopus Deploy 2018.8.0 through 2018.9.x before 2018.9.1, an authenticated user with permission to modify deployment processes could upload a maliciously crafted YAML configuration, potentially allowing for remote execution of arbitrary code, running in the same context as the Octopus Server (for self-hosted installations by default, SYSTEM). En Octopus Deploy, de la versión 2018.8.0 a las 2018.9.x anteriores a la 2018.9.1, un usuario autenticado con permisos para modificar los procesos de implementación podría subir una configuración YAML maliciosamente manipulada. Esto podría permitir la ejecución remota de código arbitrario, ejecutándose en el mismo contexto que el servidor Octopus (para las instalaciones autoalojadas por defecto, SYSTEM). • https://github.com/OctopusDeploy/Issues/issues/5042 •
CVE-2018-12089
https://notcve.org/view.php?id=CVE-2018-12089
In Octopus Deploy version 2018.5.1 to 2018.5.7, a user with Task View is able to view a password for a Service Fabric Cluster, when the Service Fabric Cluster target is configured in Azure Active Directory security mode and a deployment is executed with OctopusPrintVariables set to True. This is fixed in 2018.6.0. Desde la versión 2018.5.1 hasta la 2018.5.7 de Octopus Deploy, un usuario con Task View puede visualizar una contraseña para un Service Fabric Cluster, cuando el objetivo del Service Fabric Cluster está configurado en el modo de seguridad Azure Active Directory y se ejecuta una implementación con el valor de OctopusPrintVariables en "True". Esto se ha solucionado en la versión 2018.6.0. • https://github.com/OctopusDeploy/Issues/issues/4628 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-11320
https://notcve.org/view.php?id=CVE-2018-11320
In Octopus Deploy 2018.4.4 through 2018.5.1, Octopus variables that are sourced from the target do not have sensitive values obfuscated in the deployment logs. En Octopus Deploy, desde la versión 2018.4.4 hasta la 2018.5.1, las variables Octopus que se originan desde el objetivo o target no tienen valores sensibles ofuscados en los registros de despliegue. • https://github.com/OctopusDeploy/Issues/issues/4578 • CWE-532: Insertion of Sensitive Information into Log File •