PT-2025-6171 · Unknown · Octopus Deploy
Cale Anderson
·
Publicado
2025-02-11
·
Atualizado
2025-07-02
·
CVE-2025-0589
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas:
Octopus Deploy (versões afetadas não especificadas)
Descrição:
Nas versões afetadas do Octopus Deploy em que os clientes utilizam o Active Directory para autenticação, era possível que um usuário não autenticado realizasse uma requisição de API contra dois endpoints que recuperariam alguns dados do Active Directory associado. As requisições, quando construídas corretamente, retornariam informações específicas dos perfis de usuário (endereço de e-mail/UPN e nome de exibição) de um endpoint e informações de grupo (ID do grupo e nome de exibição) do outro. Este problema não expõe dados dentro do próprio produto Octopus Server.
Recomendações:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Octopus Deploy