CVSS: 9.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-27730
https://notcve.org/view.php?id=CVE-2020-27730
In versions 3.0.0-3.9.0, 2.0.0-2.9.0, and 1.0.1, the NGINX Controller Agent does not use absolute paths when calling system utilities. En versiones 3.0.0-3.9.0, 2.0.0-2.9.0 y 1.0.1, el NGINX Controller Agent no usa rutas absolutas cuando llaman a las utilidades del sistema • https://security.netapp.com/advisory/ntap-20210115-0004 https://support.f5.com/csp/article/K43530108 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.8EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5909
https://notcve.org/view.php?id=CVE-2020-5909
In versions 3.0.0-3.5.0, 2.0.0-2.9.0, and 1.0.1, when users run the command displayed in NGINX Controller user interface (UI) to fetch the agent installer, the server TLS certificate is not verified. En las versiones 3.0.0 hasta 3.5.0, 2.0.0 hasta 2.9.0 y 1.0.1, cuando los usuarios ejecutan el comando desplegado en la Interfaz de Usuario (UI) del NGINX Controller para obtener el instalador del agente, el certificado TLS del servidor no es verificado • https://support.f5.com/csp/article/K31150658 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5910
https://notcve.org/view.php?id=CVE-2020-5910
In versions 3.0.0-3.5.0, 2.0.0-2.9.0, and 1.0.1, the Neural Autonomic Transport System (NATS) messaging services in use by the NGINX Controller do not require any form of authentication, so any successful connection would be authorized. En las versiones 3.0.0 hasta 3.5.0, 2.0.0 hasta 2.9.0 y 1.0.1, los servicios de mensajería de Neural Autonomic Transport System (NATS) que utiliza NGINX Controller no requieren ninguna forma de autenticación, por lo que cualquier conexión con éxito sería autorizada • https://support.f5.com/csp/article/K59209532 • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-5911
https://notcve.org/view.php?id=CVE-2020-5911
In versions 3.0.0-3.5.0, 2.0.0-2.9.0, and 1.0.1, the NGINX Controller installer starts the download of Kubernetes packages from an HTTP URL On Debian/Ubuntu system. En las versiones 3.0.0 hasta 3.5.0, 2.0.0 hasta 2.9.0 y 1.0.1, el NGINX Controller inicia la descarga de los paquetes de Kubernetes desde una URL HTTP en el sistema Debian/Ubuntu • https://support.f5.com/csp/article/K84084843 •
CVSS: 9.6EPSS: 0%CPEs: 1EXPL: 0CVE-2020-5901
https://notcve.org/view.php?id=CVE-2020-5901
In NGINX Controller 3.3.0-3.4.0, undisclosed API endpoints may allow for a reflected Cross Site Scripting (XSS) attack. If the victim user is logged in as admin this could result in a complete compromise of the system. En NGINX Controller versiones 3.3.0 hasta 3.4.0, los endpoints de la API no revelados pueden permitir un ataque de tipo Cross Site Scripting (XSS) reflejado. Si el usuario víctima ha iniciado sesión como administrador, esto podría resultar en un compromiso completo del sistema • https://support.f5.com/csp/article/K43520321 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •