Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-3800

Опубликовано: 05 авг. 2019
Источник: nvd
CVSS3: 6.3
CVSS3: 7.8
CVSS2: 2.1
EPSS Низкий

Описание

CF CLI version prior to v6.45.0 (bosh release version 1.16.0) writes the client id and secret to its config file when the user authenticates with --client-credentials flag. A local authenticated malicious user with access to the CF CLI config file can act as that client, who is the owner of the leaked credentials.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:pivotal:cloud_foundry_command_line_interface:*:*:*:*:*:*:*:*
Версия до 6.45.0 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_command_line_interface_release:*:*:*:*:*:*:*:*
Версия до 1.16.0 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_deployment:*:*:*:*:*:*:*:*
Версия до 10.0.0 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_deployment_concourse_tasks:*:*:*:*:*:*:*:*
Версия до 9.3.0 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_log_cache_release:*:*:*:*:*:*:*:*
Версия до 2.3.1 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_networking_release:*:*:*:*:*:*:*:*
Версия до 2.23.0 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_notifications:*:*:*:*:*:*:*:*
Версия до 58 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_routing_release:*:*:*:*:*:*:*:*
Версия до 0.189.0 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_smoke_test:*:*:*:*:*:*:*:*
Версия до 40.0.113 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:pivotal:application_service:*:*:*:*:*:*:*:*
Версия от 2.3.0 (включая) до 2.3.14 (исключая)
cpe:2.3:a:pivotal:application_service:*:*:*:*:*:*:*:*
Версия от 2.4.0 (включая) до 2.4.10 (исключая)
cpe:2.3:a:pivotal:application_service:*:*:*:*:*:*:*:*
Версия от 2.5.0 (включая) до 2.5.6 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_autoscaling_release:*:*:*:*:*:*:*:*
Версия до 219 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_event_alerts:*:*:*:*:*:*:*:*
Версия до 1.2.8 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_healthwatch:*:*:*:*:*:*:*:*
Версия от 1.4.0 (включая) до 1.4.7 (исключая)
cpe:2.3:a:pivotal:cloud_foundry_healthwatch:*:*:*:*:*:*:*:*
Версия от 1.5.0 (включая) до 1.5.4 (исключая)
cpe:2.3:a:pivotal:credhub_service_broker_for_pcf:*:*:*:*:*:*:*:*
Версия до 1.3.2 (исключая)
cpe:2.3:a:pivotal:metric_registrar_release:*:*:*:*:*:*:*:*
Версия до 1.2 (исключая)
cpe:2.3:a:pivotal:on_demand_service_broker:*:*:*:*:*:*:*:*
Версия до 0.29.0 (исключая)
cpe:2.3:a:pivotal:pivotal_cloud_foundry_service_broker:*:*:*:*:*:aws:*:*
Версия до 1.4.13 (исключая)
cpe:2.3:a:pivotal:single_sign-on:*:*:*:*:*:cloud_foundry:*:*
Версия от 1.7.0 (включая) до 1.7.5 (исключая)
cpe:2.3:a:pivotal:single_sign-on:*:*:*:*:*:cloud_foundry:*:*
Версия от 1.8.0 (включая) до 1.8.4 (исключая)
cpe:2.3:a:pivotal:single_sign-on:*:*:*:*:*:cloud_foundry:*:*
Версия от 1.9.0 (включая) до 1.9.1 (исключая)
Конфигурация 3

Одно из

cpe:2.3:a:anynines:elasticsearch:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:anynines:logme:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:anynines:mongodb:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:anynines:mysql:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:anynines:postgresql:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:anynines:rabbitmq:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:anynines:redis:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:apigee:edge_service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 3.1.3 (исключая)
cpe:2.3:a:appdynamics:application_analytics:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 4.7.652 (исключая)
cpe:2.3:a:appdynamics:application_performance_monitoring:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 4.6.64 (исключая)
cpe:2.3:a:appdynamics:platform_montioring:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 4.7.712 (исключая)
cpe:2.3:a:bluemedora:nozzle:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 3.1.1 (исключая)
cpe:2.3:a:contrastsecurity:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.2.0 (исключая)
cpe:2.3:a:cyberark:conjur_service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.1 (исключая)
cpe:2.3:a:datadoghq:application_monitoring:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.7.0 (исключая)
cpe:2.3:a:datastax:enterprise_service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.0.2 (исключая)
cpe:2.3:a:dynatrace:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.4.2 (исключая)
cpe:2.3:a:forgerock:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.1.2 (исключая)
cpe:2.3:a:google:google_cloud_platform_service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 4.2.3 (исключая)
cpe:2.3:a:ibm:websphere_liberty_:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 3.11.0 (исключая)
cpe:2.3:a:microsoft:azure_log_analytics_nozzle:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.4.1 (исключая)
cpe:2.3:a:microsoft:azure_service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.4.1 (исключая)
cpe:2.3:a:newrelic:dotnet_extension_buildpack:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.1 (исключая)
cpe:2.3:a:newrelic:nozzle:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.17 (исключая)
cpe:2.3:a:newrelic:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.12.64 (исключая)
cpe:2.3:a:pagerduty:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.2.4 (исключая)
cpe:2.3:a:riverbed:steelcentral_appinternals:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 10.21.1-bl516 (исключая)
cpe:2.3:a:samba:volume_service:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.1 (исключая)
cpe:2.3:a:signalsciences:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.0 (исключая)
cpe:2.3:a:snyk:service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.0.3 (исключая)
cpe:2.3:a:solace:pubsub\+:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 2.3.2 (исключая)
cpe:2.3:a:splunk:nozzle:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.1 (исключая)
cpe:2.3:a:sumologic:nozzle:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.0.1 (исключая)
cpe:2.3:a:synopsys:seeker_iast_service_broker:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.2.14 (исключая)
cpe:2.3:a:tibco:businessworks_buildpack:*:*:*:*:container:pivotal_cloud_foundry:*:*
Версия до 2.4.4 (исключая)
cpe:2.3:a:wavefront:wavefront_by_vmware_nozzle:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.0.2 (исключая)
cpe:2.3:a:yugabyte:db_enterprise:*:*:*:*:*:pivotal_cloud_foundry:*:*
Версия до 1.1.8 (исключая)

EPSS

Процентиль: 53%
0.00298
Низкий

6.3 Medium

CVSS3

7.8 High

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-522
CWE-200

Связанные уязвимости

github логотип

GHSA-2wpx-p7qg-954w

CVSS3: 7.8
github
около 3 лет назад

CF CLI version prior to v6.45.0 (bosh release version 1.16.0) writes the client id and secret to its config file when the user authenticates with --client-credentials flag. A local authenticated malicious user with access to the CF CLI config file can act as that client, who is the owner of the leaked credentials.

EPSS

Процентиль: 53%
0.00298
Низкий

6.3 Medium

CVSS3

7.8 High

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-522
CWE-200