CVSS: 6.8EPSS: 0%CPEs: 14EXPL: 0CVE-2013-4963
https://notcve.org/view.php?id=CVE-2013-4963
Multiple cross-site request forgery (CSRF) vulnerabilities in Puppet Enterprise (PE) before 3.0.1 allow remote attackers to hijack the authentication of users for requests that deleting a (1) report, (2) group, or (3) class or possibly have other unspecified impact. Múltiples vulnerabilidades de CSRF en Puppet Enterprise (PE) anterior a 3.0.1 permiten a atacantes remotos secuestrar la autenticación de usuarios para solicitudes que mediante la eliminación de (1) un informe, (2) un grupo o (3) una clase o posiblemente tener otro impacto no especificado. • http://puppetlabs.com/security/cve/cve-2013-4963 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.5EPSS: 0%CPEs: 6EXPL: 0CVE-2013-1398
https://notcve.org/view.php?id=CVE-2013-1398
The pe_mcollective module in Puppet Enterprise (PE) before 2.7.1 does not properly restrict access to a catalog of private SSL keys, which allows remote authenticated users to obtain sensitive information and gain privileges by leveraging root access to a node, related to the master role. El módulo pe_mcollective en Puppet Enterprise (PE) anterior a 2.7.1 no restringe debidamente acceso al catálogo de claves privadas de SSL, lo que permite a usuarios remotos autenticados obtener información sensible y ganar privilegios mediante el aprovechamiento de un acceso root hacia un nodo, relacionado con el rol maestro. • http://puppetlabs.com/security/cve/cve-2013-1398 • CWE-310: Cryptographic Issues •
CVSS: 4.3EPSS: 0%CPEs: 14EXPL: 0CVE-2012-0891
https://notcve.org/view.php?id=CVE-2012-0891
Multiple cross-site scripting (XSS) vulnerabilities in Puppet Dashboard 1.0 before 1.2.5 and Enterprise 1.0 before 1.2.5 and 2.x before 2.0.1 allow remote attackers to inject arbitrary web script or HTML via unspecified fields. Múltiples vulnerabilidades de XSS en Puppet Dashboard 1.0 anterior a 1.2.5 y Enterprise 1.0 anterior a 1.2.5 y 2.x anterior a 2.0.1 permiten a atacantes remotos inyectar script Web o HTML arbitrarios a través de campos no especificados. • http://puppetlabs.com/security/cve/cve-2012-0891 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 5EXPL: 0CVE-2012-5158
https://notcve.org/view.php?id=CVE-2012-5158
Puppet Enterprise (PE) before 2.6.1 does not properly invalidate sessions when the session secret has changed, which allows remote authenticated users to retain access via unspecified vectors. Puppet Enterprise (PE) anterior a 2.6.1 no inválida debidamente sesiones cuando el secreto de la sesión ha cambiado, lo que permite a usuarios remotos autenticados retener acceso a través de vectores no especificados. • http://puppetlabs.com/security/cve/cve-2012-5158 • CWE-287: Improper Authentication •
CVSS: 6.4EPSS: 0%CPEs: 4EXPL: 0CVE-2013-4966
https://notcve.org/view.php?id=CVE-2013-4966
The master external node classification script in Puppet Enterprise before 3.2.0 does not verify the identity of consoles, which allows remote attackers to create arbitrary classifications on the master by spoofing a console. El script maestro de clasificación de nodo externo en Puppet Enterprise anterior a 3.2.0 no verifica la identidad de consolas, lo que permite a atacantes remotos crear clasificaciones arbitrarias en el maestro mediante la falsificación de una consola. • http://puppetlabs.com/security/cve/cve-2013-4966 http://www.securitytracker.com/id/1029873 • CWE-287: Improper Authentication •