Heapster
Уязвимости
42
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.86829
Распределение по критичности
Критический
2
Высокий
11
Средний
23
Низкий
6
Также сопоставлено как (исходные строки): heapster
Топ уязвимостей
CVE-2016-1906Openshift позволяет удаленным злоумышленникам получить привилегии, обновив конфигурацию сборки, созданную с разрешенным типом, до типа, который не разрешен.
CVE-2015-8103Подсистема Jenkins CLI в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект Java, связанный с проблемным файлом webapps/ROOT/WEB-INF/lib/commons-collections-*.jar и "Groovy variant in 'ysoserial'".
CVE-2015-7538Jenkins версий до 1.640 и LTS версий до 1.625.2 позволяют удаленным злоумышленникам обходить механизм защиты CSRF через неуказанные векторы.
CVE-2015-7537Уязвимость межсайтовой подделки запросов (CSRF) в Jenkins версий до 1.640 и LTS версий до 1.625.2 позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые имеют неуказанное воздействие через векторы, связанные с методом HTTP GET.
CVE-2016-1905API-сервер в Kubernetes неправильно проверяет контроль допуска, что позволяет удаленным аутентифицированным пользователям получать доступ к дополнительным ресурсам через специально созданный исправленный объект.
CVE-2019-9514Некоторые реализации HTTP/2 уязвимы для reset-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник открывает несколько потоков и отправляет недействительный запрос по каждому потоку, который должен вызвать поток кадров RST_STREAM от пира. В зависимости от того, как пир ставит в очередь кадры RST_STREAM, это может потреблять избыточную память, ЦП или и то, и другое.
CVE-2019-9512Некоторые реализации HTTP/2 уязвимы для ping-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет непрерывные пинги HTTP/2 пиру, заставляя пира создавать внутреннюю очередь ответов. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2016-5418Код песочницы в libarchive 3.2.0 и более ранних версиях неправильно обрабатывает архивные записи жесткой ссылки ненулевого размера данных, что может позволить удаленным злоумышленникам записывать в произвольные файлы через специально созданный архивный файл.
CVE-2015-8851node-uuid до 1.4.4 использует недостаточно случайные данные для создания GUID, что может облегчить злоумышленникам оказание не указанного воздействия через грубую силу.
CVE-2015-7539Менеджер плагинов в Jenkins версий до 1.640 и LTS версий до 1.625.2 не проверяет контрольные суммы для файлов плагинов, на которые есть ссылки в данных сайта обновления, что облегчает злоумышленникам типа "человек посередине" выполнение произвольного кода через поддельный плагин.
CVE-2015-5317Страницы отпечатков в Jenkins до 1.638 и LTS до 1.625.2 могут позволить удаленным злоумышленникам получить конфиденциальную информацию о заданиях и именах сборок через прямой запрос.
CVE-2015-1814Сервис выдачи токенов API в Jenkins до версии 1.606 и LTS до версии 1.596.2 позволяет удаленным злоумышленникам получать привилегии через "принудительное изменение токена API", затрагивающее анонимных пользователей.
CVE-2013-2186Класс DiskFileItem в Apache Commons FileUpload, используемый в Red Hat JBoss BRMS 5.3.1; JBoss Portal 4.3 CP07, 5.2.2 и 6.0.0; и Red Hat JBoss Web Server 1.0.2 позволяет удаленным злоумышленникам записывать в произвольные файлы через нулевой байт в имени файла в сериализованном экземпляре.
CVE-2015-5320Jenkins до версии 1.638 и LTS до версии 1.625.2 неправильно проверяет общий секрет, используемый в JNLP-соединениях slave, что позволяет удаленным злоумышленникам подключаться в качестве slave и получать конфиденциальную информацию или, возможно, получать административный доступ, используя знание имени slave.
CVE-2014-3666Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным злоумышленникам выполнить произвольный код через специально созданный пакет в канал CLI.
CVE-2017-12195Обнаружена уязвимость во всех версиях Openshift Enterprise, использующих плагин openshift elasticsearch. Злоумышленник, знающий данное имя, используемое для аутентификации и доступа к Elasticsearch, может позже получить доступ к нему без токена, обходя аутентификацию. Эта атака также требует, чтобы Elasticsearch был настроен с внешним маршрутом, а доступ к данным был ограничен индексами.
CVE-2015-1806Скрипт Groovy для комбинированного фильтра в Jenkins до версии 1.600 и LTS до версии 1.596.1 позволяет удаленным аутентифицированным пользователям с разрешением на настройку заданий получать привилегии и выполнять произвольный код на мастере через неуказанные векторы.
CVE-2019-11247Kubernetes kube-apiserver ошибочно разрешает доступ к пользовательскому ресурсу с областью действия кластера, если запрос сделан так, как если бы ресурс был с пространством имен. Авторизации для ресурса, к которому осуществляется доступ таким образом, применяются с использованием ролей и привязок ролей в пространстве имен, что означает, что пользователь с доступом только к ресурсу в одном пространстве имен может создавать, просматривать, обновлять или удалять ресурс с областью действия кластера (в соответствии с привилегиями своей роли в пространстве имен). Затронутые версии Kubernetes включают версии до 1.13.9, версии до 1.14.5, версии до 1.15.2 и версии 1.7, 1.8, 1.9, 1.10, 1.11, 1.12.
CVE-2017-15138Кластерное чтение OpenShift Enterprise может получить доступ к токенам веб-перехватчика, что позволит злоумышленнику с достаточными привилегиями просматривать конфиденциальные токены веб-перехватчика.
CVE-2015-5321Виджеты боковой панели в обзоре команд CLI и на страницах справки в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяют удаленным злоумышленникам получать конфиденциальную информацию через прямой запрос к страницам.
CVE-2014-3680Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным аутентифицированным пользователям с разрешением Job/READ получать значение по умолчанию для поля пароля параметризованного задания, читая DOM.
CVE-2014-3667Jenkins до версии 1.583 и LTS до версии 1.565.3 не предотвращает должным образом загрузку плагинов, что позволяет удаленным аутентифицированным пользователям с разрешением Overall/READ получать конфиденциальную информацию, читая код плагина.
CVE-2014-3664Уязвимость обхода каталогов в Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным аутентифицированным пользователям с разрешением Overall/READ читать произвольные файлы через неуказанные векторы.
CVE-2014-3663Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным аутентифицированным пользователям с разрешением Job/CONFIGURE обходить предполагаемые ограничения и создавать или уничтожать произвольные задания через неуказанные векторы.
CVE-2014-3662Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным злоумышленникам перечислять имена пользователей через векторы, связанные с попытками входа в систему.