CVE-2021-31821
https://notcve.org/view.php?id=CVE-2021-31821
When the Windows Tentacle docker image starts up it logs all the commands that it runs along with the arguments, which writes the Octopus Server API key in plaintext. This does not affect the Linux Docker image Cuando la imagen Docker de Windows Tentacle es iniciada, registra todos los comandos que ejecuta junto con los argumentos, lo que escribe la clave API del servidor Octopus en texto plano. Esto no afecta a la imagen Docker de Linux • https://advisories.octopus.com/post/2022/sa2022-01 • CWE-312: Cleartext Storage of Sensitive Information •
CVE-2021-31822
https://notcve.org/view.php?id=CVE-2021-31822
When Octopus Tentacle is installed on a Linux operating system, the systemd service file permissions are misconfigured. This could lead to a local unprivileged user modifying the contents of the systemd service file to gain privileged access. Cuando Octopus Tentacle se instala en un sistema operativo Linux, los permisos del archivo de servicio systemd están configurados inapropiadamente. Esto puede conllevar a que un usuario local no privilegiado modifique el contenido del archivo de servicio systemd para conseguir acceso privilegiado • https://advisories.octopus.com/adv/2021-11---Local-privilege-escalation-in-Octopus-Tentacle-%28CVE-2021-31822%29.2283732993.html • CWE-276: Incorrect Default Permissions •
CVE-2021-26557
https://notcve.org/view.php?id=CVE-2021-26557
When Octopus Tentacle is installed using a custom folder location, folder ACLs are not set correctly and could lead to an unprivileged user using DLL side-loading to gain privileged access. Cuando Octopus Tentacle se instala usando una ubicación de carpeta personalizada, las ACL de carpeta no se establecen correctamente y podrían conllevar a que un usuario no privilegiado use una carga lateral de DLL para conseguir acceso privilegiado • https://advisories.octopus.com/adv/2021-02---Local-privilege-escalation-in-Octopus-Tentacle-%28CVE-2021-26557%29.1732870264.html • CWE-426: Untrusted Search Path •
CVE-2019-15508
https://notcve.org/view.php?id=CVE-2019-15508
In Octopus Tentacle versions 3.0.8 to 5.0.0, when a web request proxy is configured, an authenticated user (in certain limited OctopusPrintVariables circumstances) could trigger a deployment that writes the web request proxy password to the deployment log in cleartext. This is fixed in 5.0.1. The fix was back-ported to 4.0.7. En las versiones 3.0.8 a 5.0.0 de Octopus Tentacle, cuando se configura un proxy de solicitud web, un usuario autenticado (en determinadas circunstancias limitadas de OctopusPrintVariables) podría desencadenar una implementación que escriba la contraseña de proxy de solicitud web en el inicio de sesión de implementación texto claro. Esto se corrige en 5.0.1. • https://github.com/OctopusDeploy/Issues/issues/5750 • CWE-312: Cleartext Storage of Sensitive Information CWE-532: Insertion of Sensitive Information into Log File •