CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2022-23184
https://notcve.org/view.php?id=CVE-2022-23184
07 Feb 2022 — In affected Octopus Server versions when the server HTTP and HTTPS bindings are configured to localhost, Octopus Server will allow open redirects. En las versiones de Octopus Server afectadas, cuando los enlaces HTTP y HTTPS del servidor están configurados en localhost, Octopus Server permitirá las redirecciones abiertas • https://advisories.octopus.com/post/2022/sa2022-02 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-26556
https://notcve.org/view.php?id=CVE-2021-26556
07 Oct 2021 — When Octopus Server is installed using a custom folder location, folder ACLs are not set correctly and could lead to an unprivileged user using DLL side-loading to gain privileged access. Cuando Octopus Server se instala usando una ubicación de carpeta personalizada, las ACL de carpeta no se establecen correctamente y podrían conllevar a que un usuario no privilegiado use una carga lateral de DLL para conseguir acceso privilegiado • https://advisories.octopus.com/adv/2021-01---Local-privilege-escalation-in-Octopus-Server-%28CVE-2021-26556%29.1733296189.html • CWE-426: Untrusted Search Path •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-25825
https://notcve.org/view.php?id=CVE-2020-25825
12 Oct 2020 — In Octopus Deploy 3.1.0 to 2020.4.0, certain scripts can reveal sensitive information to the user in the task logs. En Octopus Deploy versiones 3.1.0 hasta 2020.4.0, determinados scripts pueden revelar información confidencial al usuario en los registros de tareas • https://github.com/OctopusDeploy/Issues/issues/6604 •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12286
https://notcve.org/view.php?id=CVE-2020-12286
28 Apr 2020 — In Octopus Deploy before 2019.12.9 and 2020 before 2020.1.12, the TaskView permission is not scoped to any dimension. For example, a scoped user who is scoped to only one tenant can view server tasks scoped to any other tenant. En Octopus Deploy versiones anteriores a 2019.12.9 y versiones 2020 anteriores a 2020.1.12, el permiso TaskView no se extiende a ninguna dimensión. Por ejemplo, un usuario con alcance que solo tiene un inquilino puede visualizar las tareas del servidor enfocadas a cualquier otro inqu... • https://github.com/OctopusDeploy/Issues/issues/6331 •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-10678
https://notcve.org/view.php?id=CVE-2020-10678
19 Mar 2020 — In Octopus Deploy before 2020.1.5, for customers running on-premises Active Directory linked to their Octopus server, an authenticated user can leverage a bug to escalate privileges. En Octopus Deploy versiones anteriores a 2020.1.5, para los clientes que ejecutan Active Directory en sitio vinculado a su servidor de Octopus, un usuario autenticado puede aprovechar un bug para escalar privilegios. • https://github.com/OctopusDeploy/Issues/issues/6258 •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19376
https://notcve.org/view.php?id=CVE-2019-19376
28 Nov 2019 — In Octopus Deploy before 2019.10.6, an authenticated user with TeamEdit permission could send a malformed Team API request that bypasses input validation and causes an application level denial of service condition. (The fix for this was also backported to LTS 2019.9.8 and LTS 2019.6.14.) En Octopus Deploy versiones anteriores a la versión 2019.10.6, un usuario autenticado con permiso TeamEdit podría enviar una petición a la API Team malformada que omita la comprobación de entrada y cause una condición de de... • https://github.com/OctopusDeploy/Issues/issues/6005 • CWE-20: Improper Input Validation CWE-476: NULL Pointer Dereference •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-19375
https://notcve.org/view.php?id=CVE-2019-19375
28 Nov 2019 — In Octopus Deploy before 2019.10.7, in a configuration where SSL offloading is enabled, the CSRF cookie was sometimes sent without the secure attribute. (The fix for this was backported to LTS versions 2019.6.14 and 2019.9.8.) En Octopus Deploy versiones anteriores a la versión 2019.10.7, en una configuración donde la descarga SSL está habilitada, la cookie CSRF algunas veces fue enviada sin el atributo seguro. (La corrección para esto fue incluida en las versiones LTS 2019.6.14 y 2019.9.8.) • https://github.com/OctopusDeploy/Issues/issues/5998 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-19084
https://notcve.org/view.php?id=CVE-2019-19084
18 Nov 2019 — In Octopus Deploy 3.3.0 through 2019.10.4, an authenticated user with PackagePush permission to upload packages could upload a maliciously crafted package, triggering an exception that exposes underlying operating system details. En Octopus Deploy versiones 3.3.0 hasta 2019.10.4, un usuario autenticado con permiso PackagePush para cargar paquetes podría cargar un paquete especialmente diseñado con fines maliciosos, desencadenando una excepción que expone los detalles del sistema operativo subyacente. • https://github.com/OctopusDeploy/Issues/issues/5971 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-14268
https://notcve.org/view.php?id=CVE-2019-14268
25 Jul 2019 — In Octopus Deploy versions 3.0.19 to 2019.7.2, when a web request proxy is configured, an authenticated user (in certain limited circumstances) could trigger a deployment that writes the web request proxy password to the deployment log in cleartext. This is fixed in 2019.7.3. The fix was back-ported to LTS 2019.6.5 as well as LTS 2019.3.7. En Octopus Deploy versiones 3.0.19 hasta 2019.7.2, cuando es configurado un proxy de petición web, un usuario autenticado (en ciertas circunstancias limitadas) podría des... • https://github.com/OctopusDeploy/Issues/issues/5739 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2019-8944
https://notcve.org/view.php?id=CVE-2019-8944
20 Feb 2019 — An Information Exposure issue in the Terraform deployment step in Octopus Deploy before 2019.1.8 (and before 2018.10.4 LTS) allows remote authenticated users to view sensitive Terraform output variables via log files. Un fallo de exposición de información en el paso de despliegue de Terraform en Octopus Deploy, en versiones anteriores a la 2019.1.8 (anteriores a la 2018.10.4 LTS) permite a los usuarios autenticados remotos visualizar variables de salida sensibles de Terraform mediante archivos de log. • https://github.com/OctopusDeploy/Issues/issues/5314 • CWE-532: Insertion of Sensitive Information into Log File •