CVSS: 7.7EPSS: 0%CPEs: 44EXPL: 0CVE-2019-5532
https://notcve.org/view.php?id=CVE-2019-5532
VMware vCenter Server (6.7.x prior to 6.7 U3, 6.5 prior to 6.5 U3 and 6.0 prior to 6.0 U3j) contains an information disclosure vulnerability due to the logging of credentials in plain-text for virtual machines deployed through OVF. A malicious user with access to the log files containing vCenter OVF-properties of a virtual machine deployed from an OVF may be able to view the credentials used to deploy the OVF (typically the root account of the virtual machine). VMware vCenter Server (versión 6.7.x anterior a 6.7 U3, versión 6.5 anterior a 6.5 U3 y versión 6.0 anterior a 6.0 U3j), contiene una vulnerabilidad de divulgación de información debido al registro de credenciales en texto plano para máquinas virtuales implementadas por medio de OVF. Un usuario malicioso con acceso a los archivos de registro que contienen propiedades OVF de vCenter de una máquina virtual implementada desde un OVF puede ser capaz de visualizar las credenciales usadas para implementar el OVF (comúnmente la cuenta root de la máquina virtual). • http://packetstormsecurity.com/files/154536/VMware-Security-Advisory-2019-0013.html https://www.vmware.com/security/advisories/VMSA-2019-0013.html • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.7EPSS: 0%CPEs: 44EXPL: 0CVE-2019-5534
https://notcve.org/view.php?id=CVE-2019-5534
VMware vCenter Server (6.7.x prior to 6.7 U3, 6.5 prior to 6.5 U3 and 6.0 prior to 6.0 U3j) contains an information disclosure vulnerability where Virtual Machines deployed from an OVF could expose login information via the virtual machine's vAppConfig properties. A malicious actor with access to query the vAppConfig properties of a virtual machine deployed from an OVF may be able to view the credentials used to deploy the OVF (typically the root account of the virtual machine). VMware vCenter Server (versión 6.7.x anterior a 6.7 U3, versión 6.5 anterior a 6.5 U3 y versión 6.0 anterior a 6.0 U3j), contiene una vulnerabilidad de divulgación de información donde las máquinas virtuales implementadas desde un OVF podrían exponer información de inicio de sesión mediante las propiedades vAppConfig de una máquina virtual. Un actor malicioso con acceso a consultar las propiedades vAppConfig de una máquina virtual implementada desde un OVF puede ser capaz de visualizar las credenciales usadas para implementar el OVF (comúnmente la cuenta root de la máquina virtual). • http://packetstormsecurity.com/files/154536/VMware-Security-Advisory-2019-0013.html https://www.vmware.com/security/advisories/VMSA-2019-0013.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-522: Insufficiently Protected Credentials •
CVSS: 5.3EPSS: 0%CPEs: 126EXPL: 0CVE-2019-5528
https://notcve.org/view.php?id=CVE-2019-5528
VMware ESXi 6.5 suffers from partial denial of service vulnerability in hostd process. Patch ESXi650-201907201-UG for this issue is available. La plataforma VMware ESXi versión 6.5, sufre una vulnerabilidad de denegación de servicio parcial en el proceso hostd. El parche ESXi650-201907201-UG está disponible para este problema. • http://www.securityfocus.com/bid/109130 https://www.vmware.com/security/advisories/VMSA-2019-0011.html •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-11272 – PlaintextPasswordEncoder authenticates encoded passwords that are null
https://notcve.org/view.php?id=CVE-2019-11272
Spring Security, versions 4.2.x up to 4.2.12, and older unsupported versions support plain text passwords using PlaintextPasswordEncoder. If an application using an affected version of Spring Security is leveraging PlaintextPasswordEncoder and a user has a null encoded password, a malicious user (or attacker) can authenticate using a password of "null". Spring Security, versiones 4.2.x hasta 4.2.12, y versiones anteriores no compatibles admiten contraseñas de texto sin formato mediante PlaintextPasswordEncoder. Si una aplicación que usa una versión afectada de Spring Security está aprovechando PlaintextPasswordEncoder y un usuario tiene una contraseña codificada nula, un usuario malicioso (o atacante) puede identificarse usando una contraseña de "null". A flaw was found in Spring Security in several versions, in the use of plain text passwords using the PlaintextPasswordEncoder. • https://lists.debian.org/debian-lts-announce/2019/07/msg00008.html https://pivotal.io/security/cve-2019-11272 https://access.redhat.com/security/cve/CVE-2019-11272 https://bugzilla.redhat.com/show_bug.cgi?id=1728993 • CWE-287: Improper Authentication CWE-305: Authentication Bypass by Primary Weakness CWE-522: Insufficiently Protected Credentials •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-5525
https://notcve.org/view.php?id=CVE-2019-5525
VMware Workstation (15.x before 15.1.0) contains a use-after-free vulnerability in the Advanced Linux Sound Architecture (ALSA) backend. A malicious user with normal user privileges on the guest machine may exploit this issue in conjunction with other issues to execute code on the Linux host where Workstation is installed. VMware Workstation (15.x antes del 15.1.0) contiene una vulnerabilidad de use-after-free en el backend Advanced Linux Sound Architecture (ALSA). Un usuario malintencionado con privilegios de usuario normal en la máquina invitada puede aprovechar este problema junto con otros problemas para ejecutar el código en el host de Linux donde está instalada la Estación de trabajo. • http://www.securityfocus.com/bid/108674 https://www.vmware.com/security/advisories/VMSA-2019-0009.html • CWE-416: Use After Free •