CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10695
https://notcve.org/view.php?id=CVE-2019-10695
When using the cd4pe::root_configuration task to configure a Continuous Delivery for PE installation, the root user’s username and password were exposed in the job’s Job Details pane in the PE console. These issues have been resolved in version 1.2.1 of the puppetlabs/cd4pe module. Al utilizar la tarea cd4pe :: root_configuration para configurar una Entrega continua para la instalación de PE, el nombre de usuario y la contraseña del usuario raíz se expusieron en el panel Detalles del trabajo del trabajo en la consola de PE. Estos problemas se han resuelto en la versión 1.2.1 del módulo puppetlabs / cd4pe. • https://puppet.com/security/cve/CVE-2019-10695 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-10694
https://notcve.org/view.php?id=CVE-2019-10694
The express install, which is the suggested way to install Puppet Enterprise, gives the user a URL at the end of the install to set the admin password. If they do not use that URL, there is an overlooked default password for the admin user. This was resolved in Puppet Enterprise 2019.0.3 and 2018.1.9. La instalación rápida, que es la forma sugerida de instalar Puppet Enterprise, le entrega al usuario una URL al final de la instalación para establecer la contraseña de administrador. Si no usan esa URL, existe una contraseña predeterminada obviada por el usuario administrador. • https://puppet.com/security/cve/CVE-2019-10694 • CWE-798: Use of Hard-coded Credentials •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2013-4968
https://notcve.org/view.php?id=CVE-2013-4968
Puppet Enterprise before 3.0.1 allows remote attackers to (1) conduct clickjacking attacks via unspecified vectors related to the console, and (2) conduct cross-site scripting (XSS) attacks via unspecified vectors related to "live management." Puppet Enterprise versiones anteriores a 3.0.1, permite a atacantes remotos (1) conducir ataques de secuestro de cliqueo por medio de vectores no especificados relacionados con la consola, y (2) realizar ataques de tipo cross-site scripting (XSS) por medio de vectores no especificados relacionados con "live management". • http://puppetlabs.com/security/cve/cve-2013-4968 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-11747
https://notcve.org/view.php?id=CVE-2018-11747
Previously, Puppet Discovery was shipped with a default generated TLS certificate in the nginx container. In version 1.4.0, a unique certificate will be generated on installation or the user will be able to provide their own TLS certificate for ingress. Anteriormente, Puppet Discovery se distribuía con un certificado TLS generado por defecto en el contenedor nginx. En la versión 1.4.0, se generará un certificado único en la instalación o el usuario será capaz de proporcionar su propio certificado TLS para la entrada. • https://lists.apache.org/thread.html/rd0e44e8ef71eeaaa3cf3d1b8b41eb25894372e2995ec908ce7624d26%40%3Ccommits.pulsar.apache.org%3E https://puppet.com/security/cve/CVE-2018-11747 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-6517
https://notcve.org/view.php?id=CVE-2018-6517
Prior to version 0.3.0, chloride's use of net-ssh resulted in host fingerprints for previously unknown hosts getting added to the user's known_hosts file without confirmation. In version 0.3.0 this is updated so that the user's known_hosts file is not updated by chloride. En versiones anteriores a la 0.3.0, el uso de chloride de net-ssh resultó en la adición de huellas del host para hosts anteriormente desconocidos en el archivo known_hosts del usuario sin confirmación. En la versión 0.3.0, esto se ha actualizado para que el archivo known_hosts del usuario no sea actualizado por chloride. • https://puppet.com/security/cve/CVE-2018-6517 • CWE-295: Improper Certificate Validation •