CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15879
https://notcve.org/view.php?id=CVE-2020-15879
Bitwarden Server 1.35.1 allows SSRF because it does not consider certain IPv6 addresses (ones beginning with fc, fd, fe, or ff, and the :: address) and certain IPv4 addresses (0.0.0.0/8, 127.0.0.0/8, and 169.254.0.0/16). Bitwarden Server versión 1.35.1, permite un ataque de tipo SSRF porque no considera determinadas direcciones IPv6 (las que comienzan con fc, fd, fe o ff, y la dirección ::) y determinadas direcciones IPv4 (0.0.0.0/8, 127.0.0.0/8 y 169.254.0.0/16) • https://github.com/bitwarden/server/pull/827 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19766
https://notcve.org/view.php?id=CVE-2019-19766
The Bitwarden server through 1.32.0 has a potentially unwanted KDF. El servidor Bitwarden versiones hasta 1.32.0, presenta un KDF potencialmente no deseado. • https://github.com/bitwarden/jslib/issues/52 https://github.com/bitwarden/server/issues/589 • CWE-916: Use of Password Hash With Insufficient Computational Effort •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19085
https://notcve.org/view.php?id=CVE-2019-19085
A persistent cross-site scripting (XSS) vulnerability in Octopus Server 3.4.0 through 2019.10.5 allows remote authenticated attackers to inject arbitrary web script or HTML. Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en Octopus Server versiones 3.4.0 hasta 2019.10.5, tiene a atacantes autenticados remotos inyectar script web o HTML arbitrario. • https://github.com/OctopusDeploy/Issues/issues/5961 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17393 – Tomedo Server 1.7.3 Information Disclosure / Weak Cryptography
https://notcve.org/view.php?id=CVE-2019-17393
The Customer's Tomedo Server in Version 1.7.3 communicates to the Vendor Tomedo Server via HTTP (in cleartext) that can be sniffed by unauthorized actors. Basic authentication is used for the authentication, making it possible to base64 decode the sniffed credentials and discover the username and password. El Customer's Tomedo Server en la versión 1.7.3, se comunica con el Vendor Tomedo Server por medio de HTTP (en texto sin cifrar) que puede ser rastreado por actores no autorizados. La autenticación básica es usada para la autenticación, haciendo posible la decodificación base64 de las credenciales rastreadas y detectar el nombre de usuario y la contraseña. Tomedo Server version 1.7.3 suffers from using weak cryptography for passwords and cleartext transmission of sensitive information vulnerabilities. • http://packetstormsecurity.com/files/154873/Tomedo-Server-1.7.3-Information-Disclosure-Weak-Cryptography.html http://seclists.org/fulldisclosure/2019/Oct/33 • CWE-319: Cleartext Transmission of Sensitive Information CWE-522: Insufficiently Protected Credentials •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15508
https://notcve.org/view.php?id=CVE-2019-15508
In Octopus Tentacle versions 3.0.8 to 5.0.0, when a web request proxy is configured, an authenticated user (in certain limited OctopusPrintVariables circumstances) could trigger a deployment that writes the web request proxy password to the deployment log in cleartext. This is fixed in 5.0.1. The fix was back-ported to 4.0.7. En las versiones 3.0.8 a 5.0.0 de Octopus Tentacle, cuando se configura un proxy de solicitud web, un usuario autenticado (en determinadas circunstancias limitadas de OctopusPrintVariables) podría desencadenar una implementación que escriba la contraseña de proxy de solicitud web en el inicio de sesión de implementación texto claro. Esto se corrige en 5.0.1. • https://github.com/OctopusDeploy/Issues/issues/5750 • CWE-312: Cleartext Storage of Sensitive Information CWE-532: Insertion of Sensitive Information into Log File •