Page 5 of 56 results (0.003 seconds)

CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0

The LDAP Authentication functionality in Foreman might allow remote attackers with knowledge of old passwords to gain access via vectors involving the password lifetime period in Active Directory. La funcionalidad de autenticación LDAP en Foreman podría permitir que atacantes remotos que conozcan las contraseñas anteriores obtengan acceso mediante vectores relacionados con el periodo de vida activa de contraseñas en Active Directory. • http://projects.theforeman.org/issues/11471 https://bugzilla.redhat.com/show_bug.cgi?id=1258700 • CWE-254: 7PK - Security Features •

CVSS: 6.1EPSS: 0%CPEs: 45EXPL: 0

Cross-site scripting (XSS) vulnerability in Foreman 1.7.0 and after. Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Foreman 1.7.0 y posteriores. • http://projects.theforeman.org/issues/11859 http://www.openwall.com/lists/oss-security/2015/09/21/3 https://bugzilla.redhat.com/show_bug.cgi?id=1264221 https://github.com/theforeman/foreman/commit/4f3555b217be8723e8045f9816d147b5f684ec57 https://theforeman.org/security.html#2015-5282 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.1EPSS: 0%CPEs: 46EXPL: 0

Foreman after 1.1 and before 1.9.0-RC1 does not redirect HTTP requests to HTTPS when the require_ssl setting is set to true, which allows remote attackers to obtain user credentials via a man-in-the-middle attack. Foreman después de versión 1.1 y anterior a versión 1.9.0-RC1, no redirecciona las peticiones HTTP a HTTPS cuando la configuración require_ssl se establece en true, lo que permite a los atacantes remotos obtener las credenciales de usuario por medio de un ataque de tipo Man-In-The-Middle. • http://projects.theforeman.org/issues/11119 https://bugzilla.redhat.com/show_bug.cgi?id=1243571 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 8.8EPSS: 0%CPEs: 75EXPL: 0

Foreman since version 1.5 is vulnerable to an incorrect authorization check due to which users with user management permission who are assigned to some organization(s) can do all operations granted by these permissions on all administrator user object outside of their scope, such as editing global admin accounts including changing their passwords. Foreman desde la versión 1.5, es vulnerable a una comprobación de autorización incorrecta debido a que los usuarios con permiso de administración de usuario que están asignados a alguna organización(es) pueden realizar todas las operaciones otorgadas por estos permisos sobre todos los objetos del usuario administrador fuera de su alcance, tal como la edición de cuentas de administrador global incluyendo el cambio de sus contraseñas. • http://projects.theforeman.org/issues/19612 http://www.securityfocus.com/bid/98607 https://github.com/theforeman/foreman/pull/4545 • CWE-269: Improper Privilege Management CWE-863: Incorrect Authorization •

CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0

The (1) Organization and (2) Locations APIs and UIs in Foreman before 1.11.4 and 1.12.x before 1.12.0-RC3 allow remote authenticated users to bypass organization and location restrictions and (a) read, (b) edit, or (c) delete arbitrary organizations or locations via unspecified vectors. Las APIs y UIs (1) Organization y (2) Locations en Foreman en versiones anteriores a 1.11.4 y 1.12.x en versiones anteriores a 1.12.0-RC3 permiten a usuarios remotos autenticados eludir las restricciones de organización y localización y (a) leer, (b) editar o (c) eliminar organizaciones o localizaciones arbitrarias a través de vectores no especificados. • http://projects.theforeman.org/issues/15268 http://projects.theforeman.org/projects/foreman/repository/revisions/a30ab44ed6f140f1791afc51a1e448afc2ff28f9 http://www.securityfocus.com/bid/92125 https://access.redhat.com/errata/RHBA-2016:1615 https://theforeman.org/security.html#2016-4475 • CWE-254: 7PK - Security Features •