Ovirt-engine
Уязвимости
12
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.0274
Распределение по критичности
Критический
0
Высокий
3
Средний
9
Низкий
0
Затронутые диапазоны версий
4.1.0–4.1.94.2.0–4.2.2≤ 3.5.0≤ 4.4
Также сопоставлено как (исходные строки): ovirt-engine,virtualization,ovirt
Топ уязвимостей
CVE-2024-0822В overt-engine обнаружена уязвимость обхода аутентификации. Этот недостаток позволяет создавать пользователей в системе без аутентификации из-за ошибки в команде CreateUserSession.
CVE-2014-7851oVirt 3.2.2 через 3.5.0 не делает недействительным сеанс restapi после выхода из webadmin, что позволяет удаленным аутентифицированным пользователям, знающим данные сеанса другого пользователя, получать привилегии этого пользователя, заменяя свой токен сеанса токеном другого пользователя.
CVE-2018-1000095oVirt версии с 4.2.0 по 4.2.2 содержит уязвимость Cross Site Scripting (XSS) в имени/описании виртуальных машин в веб-приложении администрирования. Эта уязвимость, по-видимому, была исправлена в версии 4.2.3.
CVE-2017-7510В ovirt-engine 4.1, если хост был подготовлен с помощью cloud-init, пароль root можно было раскрыть через REST-интерфейс.
CVE-2016-3077Метод VersionMapper.fromKernelVersionString в oVirt Engine позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой процесса) для всех виртуальных машин.
CVE-2015-1780Пользователи oVirt с разрешениями MANIPULATE_STORAGE_DOMAIN могут присоединить домен хранения к любому центру обработки данных.
CVE-2016-3113Уязвимость межсайтового скриптинга (XSS) в ovirt-engine позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML.
CVE-2020-10775Обнаружена уязвимость открытого перенаправления в ovirt-engine версий 4.4 и более ранних, которая позволяет удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты и совершать попытки фишинговых атак. Как только цель открыла вредоносный URL-адрес в своем браузере, критическая часть URL-адреса больше не видна. Самая большая угроза от этой уязвимости - конфиденциальность.
CVE-2022-2805Обнаружена ошибка в ovirt-engine, которая приводит к регистрации паролей в виде открытого текста в файле журнала при использовании otapi-style. Эта ошибка позволяет злоумышленнику с достаточными привилегиями прочитать файл журнала, что приводит к потере конфиденциальности.
CVE-2014-0152Уязвимость фиксации сессии в веб-интерфейсе администрирования в oVirt 3.4.0 и более ранних версиях позволяет удаленным злоумышленникам перехватывать веб-сессии через неуказанные векторы.
CVE-2014-0151Уязвимость межсайтовой подделки запросов (CSRF) в oVirt Engine до 3.5.0 beta2 позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, выполняющих неуказанные действия, через запрос REST API.
CVE-2018-1062Уязвимость была обнаружена в oVirt 4.1.x до 4.1.9, где комбинация флагов Enable Discard и Wipe After Delete для дисков VM, управляемых oVirt, может привести к неполному обнулению диска при его удалении из VM. Если те же блоки хранения позже будут выделены новому диску, подключенному к другой VM, потенциально конфиденциальные данные могут быть раскрыты привилегированным пользователям этой VM.