CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-11320
https://notcve.org/view.php?id=CVE-2018-11320
In Octopus Deploy 2018.4.4 through 2018.5.1, Octopus variables that are sourced from the target do not have sensitive values obfuscated in the deployment logs. En Octopus Deploy, desde la versión 2018.4.4 hasta la 2018.5.1, las variables Octopus que se originan desde el objetivo o target no tienen valores sensibles ofuscados en los registros de despliegue. • https://github.com/OctopusDeploy/Issues/issues/4578 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.3EPSS: 0%CPEs: 192EXPL: 0CVE-2017-11348
https://notcve.org/view.php?id=CVE-2017-11348
In Octopus Deploy 3.x before 3.15.4, an authenticated user with PackagePush permission to upload packages could upload a maliciously crafted NuGet package, potentially overwriting other packages or modifying system files. This is a directory traversal in the PackageId value. En Octopus Deploy versión 3.x anterior a 3.15.4, un usuario autenticado con permiso PackagePush para cargar paquetes podría cargar un paquete NuGet creado con fines maliciosos, sobrescribiendo potencialmente otros paquetes o modificando archivos del sistema. Esto es un salto de directorio en el valor PackageId. • https://github.com/OctopusDeploy/Issues/issues/3654 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •