Python-keystoneclient
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.06138
Распределение по критичности
Критический
2
Высокий
4
Средний
7
Низкий
1
Также сопоставлено как (исходные строки): python-keystoneclient
Топ уязвимостей
CVE-2013-2167python-keystoneclient версии 0.2.3 - 0.2.5 имеет обход подписи промежуточного программного обеспечения memcache.
CVE-2013-2166python-keystoneclient версии 0.2.3 - 0.2.5 имеет обход шифрования промежуточного программного обеспечения memcache.
CVE-2014-5340Компонент wato в Check_MK до 1.2.4p4 и 1.2.5 до 1.2.5i4 небезопасно использует модуль pickle Python, что позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект, связанный с URL-адресом автоматизации.
CVE-2014-5339Check_MK до 1.2.4p4 и 1.2.5 до 1.2.5i4 позволяет удаленным аутентифицированным пользователям записывать файлы конфигурации check_mk (файлы .mk) в произвольные места через векторы, связанные с выбором строк.
CVE-2014-5338Множественные уязвимости межсайтового скриптинга (XSS) в компоненте multisite в Check_MK до 1.2.4p4 и 1.2.5 до 1.2.5i4 позволяют удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через неуказанные векторы в (1) функцию render_status_icons в htmllib.py или (2) функцию ajax_action в actions.py.
CVE-2022-2996В python-scciclient обнаружена ошибка при установлении HTTPS-соединения с сервером, где сертификат сервера не будет проверен. Эта проблема открывает соединение для возможных атак Man-in-the-middle (MITM).
CVE-2015-1852Промежуточное программное обеспечение s3_token в OpenStack keystonemiddleware до версии 1.6.0 и python-keystoneclient до версии 1.4.0 отключает проверку сертификатов, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки "человек посередине" через специально созданный сертификат, что является другой уязвимостью, чем CVE-2014-7144.
CVE-2023-2728Пользователи могут запустить контейнеры, которые обойдут политику монтируемых секретов, обеспечиваемую плагином принятия ServiceAccount, при использовании эфемерных контейнеров. Политика гарантирует, что поды, работающие с сервисной учетной записью, могут ссылаться только на секрета, указанные в поле секретов сервисной учетной записи. Кластеры Kubernetes затрагиваются только в том случае, если плагин принятия ServiceAccount и аннотация `kubernetes.io/enforce-mountable-secrets` используются вместе с эфемерными контейнерами.
CVE-2023-2727Пользователи могут иметь возможность запускать контейнеры, используя образы, ограниченные ImagePolicyWebhook при использовании эфемерных контейнеров. Кластеры Kubernetes затрагиваются только в том случае, если плагин пропуска изображения ImagePolicyWebhook используется вместе с эфемерными контейнерами.
CVE-2022-1705Принятие некоторых недопустимых заголовков Transfer-Encoding в HTTP/1 клиенте в net/http до Go 1.17.12 и Go 1.18.4 позволяет осуществлять контрабанду HTTP-запросов, если это сочетается с промежуточным сервером, который также неправильно не отклоняет заголовок как недопустимый.
CVE-2014-7144OpenStack keystonemiddleware (ранее python-keystoneclient) 0.x до 0.11.0 и 1.x до 1.2.0 отключает проверку сертификации, когда опция "insecure" установлена в файле конфигурации paste (paste.ini) независимо от значения, что позволяет удаленным злоумышленникам проводить атаки типа "человек посередине" через специально созданный сертификат.
CVE-2014-0105Промежуточное программное обеспечение auth_token в клиентской библиотеке OpenStack Python для Keystone (aka python-keystoneclient) до 0.7.0 неправильно извлекает токены пользователей из memcache, что позволяет удаленным аутентифицированным пользователям получать привилегии при благоприятных обстоятельствах через большое количество запросов, связанных с «взаимодействием между eventlet и python-memcached».
CVE-2014-7960OpenStack Object Storage (Swift) до версии 2.2.0 позволяет удаленным аутентифицированным пользователям обходить ограничения max_meta_count и другие ограничения метаданных через множественные специально созданные запросы, которые превышают предел при объединении.
CVE-2013-2104python-keystoneclient до версии 0.2.4, используемый в OpenStack Keystone (Folsom), неправильно проверяет срок действия токенов PKI, что позволяет удаленным аутентифицированным пользователям (1) сохранять использование токена после истечения срока его действия или (2) использовать отозванный токен после истечения срока его действия.