CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2022-23184
https://notcve.org/view.php?id=CVE-2022-23184
07 Feb 2022 — In affected Octopus Server versions when the server HTTP and HTTPS bindings are configured to localhost, Octopus Server will allow open redirects. En las versiones de Octopus Server afectadas, cuando los enlaces HTTP y HTTPS del servidor están configurados en localhost, Octopus Server permitirá las redirecciones abiertas • https://advisories.octopus.com/post/2022/sa2022-02 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-26556
https://notcve.org/view.php?id=CVE-2021-26556
07 Oct 2021 — When Octopus Server is installed using a custom folder location, folder ACLs are not set correctly and could lead to an unprivileged user using DLL side-loading to gain privileged access. Cuando Octopus Server se instala usando una ubicación de carpeta personalizada, las ACL de carpeta no se establecen correctamente y podrían conllevar a que un usuario no privilegiado use una carga lateral de DLL para conseguir acceso privilegiado • https://advisories.octopus.com/adv/2021-01---Local-privilege-escalation-in-Octopus-Server-%28CVE-2021-26556%29.1733296189.html • CWE-426: Untrusted Search Path •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12286
https://notcve.org/view.php?id=CVE-2020-12286
28 Apr 2020 — In Octopus Deploy before 2019.12.9 and 2020 before 2020.1.12, the TaskView permission is not scoped to any dimension. For example, a scoped user who is scoped to only one tenant can view server tasks scoped to any other tenant. En Octopus Deploy versiones anteriores a 2019.12.9 y versiones 2020 anteriores a 2020.1.12, el permiso TaskView no se extiende a ninguna dimensión. Por ejemplo, un usuario con alcance que solo tiene un inquilino puede visualizar las tareas del servidor enfocadas a cualquier otro inqu... • https://github.com/OctopusDeploy/Issues/issues/6331 •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10678
https://notcve.org/view.php?id=CVE-2020-10678
19 Mar 2020 — In Octopus Deploy before 2020.1.5, for customers running on-premises Active Directory linked to their Octopus server, an authenticated user can leverage a bug to escalate privileges. En Octopus Deploy versiones anteriores a 2020.1.5, para los clientes que ejecutan Active Directory en sitio vinculado a su servidor de Octopus, un usuario autenticado puede aprovechar un bug para escalar privilegios. • https://github.com/OctopusDeploy/Issues/issues/6258 •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19376
https://notcve.org/view.php?id=CVE-2019-19376
28 Nov 2019 — In Octopus Deploy before 2019.10.6, an authenticated user with TeamEdit permission could send a malformed Team API request that bypasses input validation and causes an application level denial of service condition. (The fix for this was also backported to LTS 2019.9.8 and LTS 2019.6.14.) En Octopus Deploy versiones anteriores a la versión 2019.10.6, un usuario autenticado con permiso TeamEdit podría enviar una petición a la API Team malformada que omita la comprobación de entrada y cause una condición de de... • https://github.com/OctopusDeploy/Issues/issues/6005 • CWE-20: Improper Input Validation CWE-476: NULL Pointer Dereference •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19375
https://notcve.org/view.php?id=CVE-2019-19375
28 Nov 2019 — In Octopus Deploy before 2019.10.7, in a configuration where SSL offloading is enabled, the CSRF cookie was sometimes sent without the secure attribute. (The fix for this was backported to LTS versions 2019.6.14 and 2019.9.8.) En Octopus Deploy versiones anteriores a la versión 2019.10.7, en una configuración donde la descarga SSL está habilitada, la cookie CSRF algunas veces fue enviada sin el atributo seguro. (La corrección para esto fue incluida en las versiones LTS 2019.6.14 y 2019.9.8.) • https://github.com/OctopusDeploy/Issues/issues/5998 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8944
https://notcve.org/view.php?id=CVE-2019-8944
20 Feb 2019 — An Information Exposure issue in the Terraform deployment step in Octopus Deploy before 2019.1.8 (and before 2018.10.4 LTS) allows remote authenticated users to view sensitive Terraform output variables via log files. Un fallo de exposición de información en el paso de despliegue de Terraform en Octopus Deploy, en versiones anteriores a la 2019.1.8 (anteriores a la 2018.10.4 LTS) permite a los usuarios autenticados remotos visualizar variables de salida sensibles de Terraform mediante archivos de log. • https://github.com/OctopusDeploy/Issues/issues/5314 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-12884
https://notcve.org/view.php?id=CVE-2018-12884
26 Jun 2018 — In Octopus Deploy 3.0 onwards (before 2018.6.7), an authenticated user with incorrect permissions may be able to create Accounts under the Infrastructure menu. Desde la versión 3.0 de Octopus Deploy (anteriores al 7/6/2018), un usuario autenticado con permisos incorrectos podría ser capaz de crear cuentas bajo el menú Infrastructure. • https://github.com/OctopusDeploy/Issues/issues/4674 • CWE-269: Improper Privilege Management •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-10550
https://notcve.org/view.php?id=CVE-2018-10550
30 Apr 2018 — In Octopus Deploy before 2018.4.7, target and tenant tag variable scopes were not checked against the list of tenants the user has access to. En Octopus Deploy en versiones anteriores a la 2018.4.7, los ámbitos de variables de etiqueta target y tenant no se compararon con la lista de tenants a los que el usuario tiene acceso. • https://github.com/OctopusDeploy/Issues/issues/4454 • CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2018-9039
https://notcve.org/view.php?id=CVE-2018-9039
27 Mar 2018 — In Octopus Deploy 2.0 and later before 2018.3.7, an authenticated user, with variable edit permissions, can scope some variables to targets greater than their permissions should allow. In other words, they can see machines beyond their team's scoped environments. En Octopus Deploy 2.0 y posteriores, anteriores a 2018.3.7, un usuario autenticado con permisos de edición de variables puede averiguar algunas variables para límites mayores que aquellos para los que debería tener permisos. En otras palabras, los ... • https://github.com/OctopusDeploy/Issues/issues/4407 • CWE-862: Missing Authorization •