Vulnerabilidad en Octopus Deploy (CVE-2025-0589)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/02/2025

Última modificación:

11/02/2025

Descripción

En las versiones afectadas de Octopus Deploy en las que los clientes utilizan Active Directory para la autenticación, era posible que un usuario no autenticado realizara una solicitud de API contra dos endpoints que recuperarían algunos datos del Active Directory asociado. Las solicitudes, cuando se elaboraban correctamente, devolverían información específica de los perfiles de usuario (dirección de correo electrónico/UPN y nombre para mostrar) de un endpoint e información de grupo (ID de grupo y nombre para mostrar) del otro. Esta vulnerabilidad no expone los datos dentro del producto Octopus Server en sí.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://advisories.octopus.com/post/2025/sa2025-01/