CVE-2018-18836
https://notcve.org/view.php?id=CVE-2018-18836
An issue was discovered in Netdata 1.10.0. JSON injection exists via the api/v1/data tqx parameter because of web_client_api_request_v1_data in web/api/web_api_v1.c. Un problema fue descubierto en Netdata 1.10.0. La inyección JSON existe a través del parámetro api / v1 / data tqx debido a web_client_api_request_v1_data en web / api / web_api_v1.c. • https://github.com/netdata/netdata/blob/798c141c49ee85bddc8f48f25d2cb593ec96da07/web/api/web_api_v1.c#L388 https://github.com/netdata/netdata/blob/798c141c49ee85bddc8f48f25d2cb593ec96da07/web/api/web_api_v1.c#L403 https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_json_injection.txt • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2018-18837
https://notcve.org/view.php?id=CVE-2018-18837
An issue was discovered in Netdata 1.10.0. HTTP Header Injection exists via the api/v1/data filename parameter because of web_client_api_request_v1_data in web/api/web_api_v1.c. Un problema fue descubierto en Netdata 1.10.0. La Inyección de encabezado HTTP existe a través del parámetro api / v1 / nombre de archivo de datos debido a web_client_api_request_v1_data en web / api / web_api_v1.c. • https://github.com/netdata/netdata/blob/798c141c49ee85bddc8f48f25d2cb593ec96da07/web/api/web_api_v1.c#L367-L370 https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_header_injection.txt • CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') •
CVE-2018-18838
https://notcve.org/view.php?id=CVE-2018-18838
An issue was discovered in Netdata 1.10.0. Log Injection (or Log Forgery) exists via a %0a sequence in the url parameter to api/v1/registry. Un problema fue descubierto en Netdata 1.10.0. La inyección de registro (o la falsificación de registro) existe a través de una secuencia% 0a en el parámetro url para api / v1 / registry. • https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_log_injection.txt • CWE-116: Improper Encoding or Escaping of Output •
CVE-2018-18839
https://notcve.org/view.php?id=CVE-2018-18839
An issue was discovered in Netdata 1.10.0. Full Path Disclosure (FPD) exists via api/v1/alarms. NOTE: the vendor says "is intentional. ** EN DISPUTA** Se descubrió un problema en Netdata 1.10.0. La divulgación de ruta completa (FPD) existe a través de api / v1 / alarms. NOTA: el fabricante dice "es intencional". • https://github.com/netdata/netdata/commit/92327c9ec211bd1616315abcb255861b130b97ca https://github.com/netdata/netdata/pull/4521 https://www.red4sec.com/cve/netdata_fpd.txt • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •