CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2024-4812 – Katello: potential cross-site scripting exploit in ui
https://notcve.org/view.php?id=CVE-2024-4812
A flaw was found in the Katello plugin for Foreman, where it is possible to store malicious JavaScript code in the "Description" field of a user. This code can be executed when opening certain pages, for example, Host Collections. Se encontró una falla en el complemento Katello para Foreman, donde es posible almacenar código JavaScript malicioso en el campo "Descripción" de un usuario. Este código se puede ejecutar al abrir determinadas páginas, por ejemplo, Colecciones de hosts. • https://access.redhat.com/security/cve/CVE-2024-4812 https://bugzilla.redhat.com/show_bug.cgi?id=2280187 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2013-4201
https://notcve.org/view.php?id=CVE-2013-4201
Katello allows remote authenticated users to call the "system remove_deletion" CLI command via vectors related to "remove system" permissions. Katello permite que usuarios autenticados remotos llamen al comando de la interfaz de línea de comandos "system remove_deletion" mediante vectores relacionados con los permisos "remove system". • https://bugzilla.redhat.com/show_bug.cgi?id=991318 • CWE-275: Permission Issues •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2016-3072 – Katello: Authenticated sql injection via sort_by and sort_order request parameter
https://notcve.org/view.php?id=CVE-2016-3072
Multiple SQL injection vulnerabilities in the scoped_search function in app/controllers/katello/api/v2/api_controller.rb in Katello allow remote authenticated users to execute arbitrary SQL commands via the (1) sort_by or (2) sort_order parameter. Múltiples vulnerabilidades de inyección SQL en la función scoped_search en app/controllers/katello/api/v2/api_controller.rb en Katello permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través de parámetro (1) sort_by o (2) sort_order. An input sanitization flaw was found in the scoped search parameters sort_by and sort_order in the REST API. An authenticated user could use this flaw to perform an SQL injection attack on the Katello back end database. • https://access.redhat.com/errata/RHSA-2016:1083 https://bugzilla.redhat.com/show_bug.cgi?id=1322050 https://github.com/Katello/katello/pull/6051 https://access.redhat.com/security/cve/CVE-2016-3072 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.0EPSS: 1%CPEs: 1EXPL: 2CVE-2014-3712
https://notcve.org/view.php?id=CVE-2014-3712
Katello allows remote attackers to cause a denial of service (memory consumption) via the (1) mode parameter in the setup_utils function in content_search_controller.rb or (2) action parameter in the respond function in api/api_controller.rb in app/controllers/katello/, which is passed to the to_sym method. Katello, permite a los atacantes remotos causar una denegación de servicio (consumo de memoria) por medio del (1) parámetro mode en la función setup_utils en el archivo content_search_controller.rb o (2) en el parámetro action en la función respond en el archivo api/api_controller.rb en app/controllers/katello/, que es pasada al método to_sym. • http://seclists.org/oss-sec/2014/q4/419 http://www.securityfocus.com/bid/70707 https://bugzilla.redhat.com/show_bug.cgi?id=1155708 https://exchange.xforce.ibmcloud.com/vulnerabilities/97724 • CWE-399: Resource Management Errors •
CVSS: 2.1EPSS: 0%CPEs: 17EXPL: 1CVE-2013-4455
https://notcve.org/view.php?id=CVE-2013-4455
Katello Installer before 0.0.18 uses world-readable permissions for /etc/pki/tls/private/katello-node.key when deploying a child Pulp node, which allows local users to obtain the private key by reading the file. Katello Installer anterior a 0.0.18 utiliza permisos de lectura universal para /etc/pki/tls/private/katello-node.key cuando despliega un nodo hijo Pulp, lo que permite a usuarios locales obtener la clave privada mediante la lectura del archivo. • https://bugzilla.redhat.com/show_bug.cgi?id=1021784 https://github.com/Katello/katello-installer/commit/15e01086bcb3f5d42525730e8b162bca11bec85e • CWE-264: Permissions, Privileges, and Access Controls •