Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ovirt-engine (CVE-2018-1075)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
12/06/2018
Última modificación:
13/02/2023

Descripción

ovirt-engine hasta la versión 4.2.3 es vulnerable a una contraseña no filtrada al elegir el provisionamiento db manual. Cuando se ejecuta engine-setup y se elige provisionar la base de datos manualmente o conectarse a una base de datos remota, la entrada de contraseña se registra en texto claro durante el paso de verificación. La compartición de este registro de provisionamiento puede filtrar de forma inadvertida contraseñas de la base de datos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ovirt:ovirt:*:*:*:*:*:*:*:* 4.2.3 (excluyendo)