Unknown · Octopus Deploy · CVE-2025-0589
Nome do Software Vulnerável e Versões Afetadas:
Octopus Deploy (versões afetadas não especificadas)
Descrição:
Nas versões afetadas do Octopus Deploy em que os clientes utilizam o Active Directory para autenticação, era possível que um usuário não autenticado realizasse uma requisição de API contra dois endpoints que recuperariam alguns dados do Active Directory associado. As requisições, quando construídas corretamente, retornariam informações específicas dos perfis de usuário (endereço de e-mail/UPN e nome de exibição) de um endpoint e informações de grupo (ID do grupo e nome de exibição) do outro. Este problema não expõe dados dentro do próprio produto Octopus Server.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.