Openshift-origin-msg-node-mcollective
Уязвимости
59
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.86829
Распределение по критичности
Критический
7
Высокий
6
Средний
38
Низкий
8
Также сопоставлено как (исходные строки): openshift-origin-msg-node-mcollective
Топ уязвимостей
CVE-2016-0791Jenkins до версии 1.650 и LTS до версии 1.642.2 не использует алгоритм постоянного времени для проверки CSRF-токенов, что облегчает удаленным злоумышленникам обход механизма защиты CSRF с помощью подхода brute-force.
CVE-2016-0788Модуль remoting в Jenkins до версии 1.650 и LTS до версии 1.642.2 позволяет удаленным злоумышленникам выполнять произвольный код, открывая прослушиватель JRMP.
CVE-2015-8103Подсистема Jenkins CLI в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект Java, связанный с проблемным файлом webapps/ROOT/WEB-INF/lib/commons-collections-*.jar и "Groovy variant in 'ysoserial'".
CVE-2015-7501Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x и 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x и 5.x; Enterprise Application Platform 6.x, 5.x и 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; и Red Hat Subscription Asset Manager 1.3 позволяют удаленным злоумышленникам выполнять произвольные команды через специально созданный сериализованный объект Java, связанный с библиотекой Apache Commons Collections (ACC).
CVE-2015-5254Apache ActiveMQ 5.x до версии 5.13.0 не ограничивает классы, которые могут быть сериализованы в брокере, что позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект Java Message Service (JMS) ObjectMessage.
CVE-2014-0234Конфигурация по умолчанию broker.conf в Red Hat OpenShift Enterprise 2.x до 2.1 имеет пароль "mooo" для учетной записи Mongo, что позволяет удаленным злоумышленникам перехватить брокер, предоставив этот пароль, связанный со скриптом openshift.sh в Openshift Extras до 20130920. ПРИМЕЧАНИЕ: это может частично совпадать с CVE-2013-4253 и CVE-2013-4281.
CVE-2014-0175mcollective имеет пароль по умолчанию, установленный при установке.
CVE-2016-0792Множественные неуказанные API-эндпоинты в Jenkins до версии 1.650 и LTS до версии 1.642.2 позволяют удаленным аутентифицированным пользователям выполнять произвольный код через сериализованные данные в XML-файле, связанные с XStream и groovy.util.Expando.
CVE-2015-7538Jenkins версий до 1.640 и LTS версий до 1.625.2 позволяют удаленным злоумышленникам обходить механизм защиты CSRF через неуказанные векторы.
CVE-2015-7537Уязвимость межсайтовой подделки запросов (CSRF) в Jenkins версий до 1.640 и LTS версий до 1.625.2 позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые имеют неуказанное воздействие через векторы, связанные с методом HTTP GET.
CVE-2015-7539Менеджер плагинов в Jenkins версий до 1.640 и LTS версий до 1.625.2 не проверяет контрольные суммы для файлов плагинов, на которые есть ссылки в данных сайта обновления, что облегчает злоумышленникам типа "человек посередине" выполнение произвольного кода через поддельный плагин.
CVE-2015-5317Страницы отпечатков в Jenkins до 1.638 и LTS до 1.625.2 могут позволить удаленным злоумышленникам получить конфиденциальную информацию о заданиях и именах сборок через прямой запрос.
CVE-2016-3726Множественные уязвимости открытого перенаправления в Jenkins до версии 2.3 и LTS до версии 1.651.2 позволяют удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты и проводить фишинговые атаки через неуказанные векторы, связанные с "схематически относительными" URL-адресами.
CVE-2015-5320Jenkins до версии 1.638 и LTS до версии 1.625.2 неправильно проверяет общий секрет, используемый в JNLP-соединениях slave, что позволяет удаленным злоумышленникам подключаться в качестве slave и получать конфиденциальную информацию или, возможно, получать административный доступ, используя знание имени slave.
CVE-2013-0158Неуказанная уязвимость в Jenkins до версии 1.498, Jenkins LTS до версии 1.480.2 и Jenkins Enterprise 1.447.x до версии 1.447.6.1 и 1.466.x до версии 1.466.12.1, когда подключен подчиненный и включен анонимный доступ для чтения, позволяет удаленным злоумышленникам получать главный криптографический ключ через неизвестные векторы.
CVE-2016-3724Jenkins до версии 2.3 и LTS до версии 1.651.2 позволяют удаленным аутентифицированным пользователям с расширенным доступом для чтения получать конфиденциальную информацию о пароле, читая конфигурацию задания.
CVE-2013-0155Ruby on Rails 3.0.x до версии 3.0.19, 3.1.x до версии 3.1.10 и 3.2.x до версии 3.2.11 неправильно учитывает различия в обработке параметров между компонентом Active Record и реализацией JSON, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения запросов к базе данных и выполнять NULL-проверки или вызывать отсутствующие предложения WHERE через специально созданный запрос, как продемонстрировано определенными значениями "[nil]", связанная проблема с CVE-2012-2660 и CVE-2012-2694.
CVE-2012-6496Уязвимость SQL-инъекции в компоненте Active Record в Ruby on Rails до версий 3.0.18, 3.1.x до 3.1.9 и 3.2.x до 3.2.10 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через специально созданный запрос, который использует неправильное поведение динамических поисковых систем в приложениях, которые могут использовать неожиданные типы данных в определенных вызовах метода find_by_.
CVE-2016-0789Уязвимость CRLF-инъекции в документации команд CLI в Jenkins до версии 1.650 и LTS до версии 1.642.2 позволяет удаленным злоумышленникам внедрять произвольные HTTP-заголовки и проводить атаки HTTP response splitting через неуказанные векторы.
CVE-2013-2034Множественные cross-site request forgery (CSRF) уязвимости в Jenkins до 1.514, LTS до 1.509.1 и Enterprise 1.466.x до 1.466.14.1 и 1.480.x до 1.480.4.1 позволяют удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые (1) выполняют произвольный код или (2) инициируют развертывание бинарных файлов в репозиторий Maven через неуказанные векторы.
CVE-2014-0084Ruby gem openshift-origin-node до 2014-02-14 не содержит тайм-аут cronjob, что может привести к отказу в обслуживании в cron.daily и cron.weekly.
CVE-2016-0790Jenkins до версии 1.650 и LTS до версии 1.642.2 не использует алгоритм постоянного времени для проверки API-токенов, что облегчает удаленным злоумышленникам определение API-токенов с помощью подхода brute-force.
CVE-2015-5321Виджеты боковой панели в обзоре команд CLI и на страницах справки в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяют удаленным злоумышленникам получать конфиденциальную информацию через прямой запрос к страницам.
CVE-2013-0276ActiveRecord в Ruby on Rails до 2.3.17, 3.1.x до 3.1.11 и 3.2.x до 3.2.12 позволяет удаленным злоумышленникам обходить механизм защиты attr_protected и изменять защищенные атрибуты модели через специально созданный запрос.
CVE-2012-5371Ruby (также известный как CRuby) 1.9 до версии 1.9.3-p327 и 2.0 до r37575 вычисляет хеш-значения, не ограничивая должным образом возможность предсказуемого запуска коллизий хешей, что позволяет зависящим от контекста злоумышленникам вызывать отказ в обслуживании (потребление ЦП) через специально созданный ввод в приложение, которое поддерживает хеш-таблицу, как продемонстрировано универсальной атакой с множественными коллизиями против варианта алгоритма MurmurHash2, что является иной уязвимостью, чем CVE-2011-4815.