Page 8 of 65 results (0.009 seconds)

CVSS: 7.3EPSS: 0%CPEs: 2EXPL: 0

A vulnerability was found in Ansible engine 2.x up to 2.8 and Ansible tower 3.x up to 3.5. When a module has an argument_spec with sub parameters marked as no_log, passing an invalid parameter name to the module will cause the task to fail before the no_log options in the sub parameters are processed. As a result, data in the sub parameter fields will not be masked and will be displayed if Ansible is run with increased verbosity and present in the module invocation arguments for the task. Se detectó una vulnerabilidad en Ansible engine versión 2.x hasta 2.8 y Ansible tower versión 3.x hasta 3.5. Cuando un módulo tiene un argumento_spec con subparámetros marcados como no_log, pasar un nombre de parámetro no válido al módulo hará que la tarea falle antes de que se procesen las opciones no_log en los subparámetros. • http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00021.html http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00026.html https://access.redhat.com/errata/RHSA-2019:3201 https://access.redhat.com/errata/RHSA-2019:3202 https://access.redhat.com/errata/RHSA-2019:3203 https://access.redhat.com/errata/RHSA-2019:3207 https://access.redhat.com/errata/RHSA-2020:0756 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14858 https://access.redhat.com/security& • CWE-117: Improper Output Neutralization for Logs CWE-532: Insertion of Sensitive Information into Log File •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

A missing permission check in Jenkins Ansible Tower Plugin 0.9.1 and earlier in the TowerInstallation.TowerInstallationDescriptor#doFillTowerCredentialsIdItems method allowed attackers with Overall/Read permission to enumerate credentials ID of credentials stored in Jenkins. Una falta de comprobación de permisos en Jenkins Ansible Tower Plugin versión 0.9.1 y anteriores, en el método TowerInstallation.TowerInstallationDescriptor#doFillTowerCredentialsIdItems permitió a los atacantes con permiso Overall/Read enumerar el ID de las credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2019/04/30/5 http://www.securityfocus.com/bid/108159 https://jenkins.io/security/advisory/2019-04-30/#SECURITY-1355 • CWE-862: Missing Authorization •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

A cross-site request forgery vulnerability in Jenkins Ansible Tower Plugin 0.9.1 and earlier in the TowerInstallation.TowerInstallationDescriptor#doTestTowerConnection form validation method allowed attackers permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins Una vulnerabilidad de tipo cross-site request forgery en Jenkins Ansible Tower Plugin versión 0.9.1 y anteriores en el método de comprobación de formulario TowerInstallation.TowerInstallationDescriptor#doTestTowerConnection permitía a los atacantes permiso para conectarse a un URL especificada por el atacante mediante los identificadores de credenciales especificados por el atacante obtenidos por otro método, capturando las credenciales almacenadas en Jenkins • http://www.openwall.com/lists/oss-security/2019/04/30/5 http://www.securityfocus.com/bid/108159 https://jenkins.io/security/advisory/2019-04-30/#SECURITY-1355 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0786 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

A missing permission check in Jenkins Ansible Tower Plugin 0.9.1 and earlier in the TowerInstallation.TowerInstallationDescriptor#doTestTowerConnection form validation method allowed attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una falta de comprobación de permiso en Jenkins Ansible Tower plugin versión 0.9.1 y versiones anteriores en el método de comprobación de formulario TowerInstallationDescriptor#doTestTowerConnection permitía a los atacantes con permiso general y de lectura conectarse a un URL especificada por el atacante usando identificadores de credenciales especificados por el atacante obtenidos por otro método, capturando las credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2019/04/30/5 http://www.securityfocus.com/bid/108159 https://jenkins.io/security/advisory/2019-04-30/#SECURITY-1355 • CWE-862: Missing Authorization •

CVSS: 7.2EPSS: 0%CPEs: 2EXPL: 0

When running Tower before 3.4.3 on OpenShift or Kubernetes, application credentials are exposed to playbook job runs via environment variables. A malicious user with the ability to write playbooks could use this to gain administrative privileges. Al ejecutar Tower, en versiones anteriores a la 3.4.3 en OpenShift o Kubernetes, las credenciales de aplicación se exponen a ejecuciones "playbook job" mediante variables de entorno. Un usuario malicioso capacitado para escribir playbooks podría utilizar esto para ganar privilegios de administrador. When running Tower on OpenShift or Kubernetes, application credentials are exposed to playbook job runs via environment variables. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3869 https://github.com/ansible/awx/pull/3505 https://access.redhat.com/security/cve/CVE-2019-3869 https://bugzilla.redhat.com/show_bug.cgi?id=1688508 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-214: Invocation of Process Using Visible Sensitive Information •