Heat
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
7.4
Макс. EPSS
0.02928
Распределение по критичности
Критический
0
Высокий
1
Средний
6
Низкий
1
Также сопоставлено как (исходные строки): heat
Топ уязвимостей
CVE-2023-1625Утечка информации была обнаружена в OpenStack heat. Эта проблема может позволить удаленному аутентифицированному злоумышленнику использовать команду 'stack show' для раскрытия параметров, которые должны оставаться скрытыми. Это оказывает низкое воздействие на конфиденциальность, целостность и доступность системы.
CVE-2017-2621Обнаружена ошибка контроля доступа в сервисе OpenStack Orchestration (heat) версий до 8.0.0, 6.1.0 и 7.0.2, где каталог журналов сервиса был неправильно сделан общедоступным для чтения. Злонамеренный пользователь системы может использовать этот недостаток для доступа к конфиденциальной информации.
CVE-2015-5295Команда template-validate в OpenStack Orchestration API (Heat) до версии 2015.1.3 (kilo) и 5.0.x до версии 5.0.1 (liberty) позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (потребление памяти) или определять существование локальных файлов через тип ресурса в шаблоне, как продемонстрировано file:///dev/zero.
CVE-2024-7319В openstack-heat обнаружено неполное исправление для CVE-2023-1625. Конфиденциальная информация может быть раскрыта с помощью команды OpenStack stack abandon с установленным значением True для скрытой функции и примененным исправлением CVE-2023-1625.
CVE-2014-3801OpenStack Orchestration API (Heat) 2013.2 до 2013.2.3 и 2014.1, при создании стека для шаблона с использованием шаблона поставщика, позволяет удаленным аутентифицированным пользователям получать URL-адрес шаблона поставщика через resource-type-list.
CVE-2013-6428ReST API в OpenStack Orchestration API (Heat) до Havana 2013.2.1 и Icehouse до icehouse-2 позволяет удаленным аутентифицированным пользователям обходить ограничения области действия арендатора через измененный tenant_id в пути запроса.
CVE-2013-6426API, совместимый с cloudformation, в OpenStack Orchestration API (Heat) до Havana 2013.2.1 и Icehouse до icehouse-2 неправильно применяет правила политики, что позволяет локальным пользователям внутри экземпляра обходить предполагаемые ограничения доступа и (1) создавать стек с помощью метода CreateStack или (2) обновлять стек с помощью метода UpdateStack.
CVE-2016-9185В OpenStack Heat, запустив новый стек Heat с локальным URL-адресом, аутентифицированный пользователь может провести обнаружение сети, раскрывая внутреннюю конфигурацию сети. Затронутые версии: <=5.0.3, >=6.0.0 <=6.1.0 и ==7.0.0.