In Octopus Deploy 3.x before 3.15.4, an authenticated user with PackagePush permission to upload packages could upload a maliciously crafted NuGet package, potentially overwriting other packages or modifying system files. This is a directory traversal in the PackageId value.

No CVSS v3.1

Attack Vector Network

Attack Complexity Low

Privileges Required Low

Scope Unchanged

Confidentiality Impact None

Integrity Impact High

Availability Impact None

User Interaction Required

Access Vector Network

Access Complexity Medium

Authentication Single

Confidentiality Impact None

Integrity Impact Complete

Availability Impact None

AV:N/AC:M/Au:S/C:N/I:C/A:N
Vendors Products
Octopus
  • Octopus Deploy
  • Octopus Server

Configuration 1 [-]

OR cpe:2.3:a:octopus:octopus_deploy:3.6.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_deploy:3.7.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.11:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.12:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.13:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.14:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.16:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.17:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.18:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.19:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.20:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.21:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.22:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.23:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.24:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.25:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.0.26:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.0:beta0001:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.0:beta0002:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.12:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.1.13:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.0:beta0001:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.11:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.16:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.17:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.19:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.20:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.21:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.22:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.23:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.2.24:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.0:beta0001:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.0:beta0002:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.11:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.12:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.14:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.16:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.17:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.18:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.19:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.20:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.21:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.22:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.24:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.25:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.26:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.3.27:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.0:beta0001:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.0:beta0002:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.11:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.12:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.13:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.14:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.4.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.5.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.6.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.6.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.11:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.12:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.13:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.14:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.16:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.17:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.7.18:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.8:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.8.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.9.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.10.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.10.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.11:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.12:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.13:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.14:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.16:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.17:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.11.18:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.4:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.12.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.3:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.5:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.6:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.7:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.9:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.13.10:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.14.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.14.15:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.14.159:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.14.1592:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.14.15926:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.15.0:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.15.1:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.15.2:*:*:*:*:*:*:*
cpe:2.3:a:octopus:octopus_server:3.15.3:*:*:*:*:*:*:*
References
Link Resource
https://github.com/OctopusDeploy/Issues/issues/3654 Third Party Advisory
History

No history.

cve-icon MITRE Information

Status: PUBLISHED

Assigner: mitre

Published: 2017-07-17T00:00:00

Updated: 2017-07-17T00:57:01

Reserved: 2017-07-16T00:00:00

Link: CVE-2017-11348

JSON object: View

cve-icon NVD Information

Status : Analyzed

Published: 2017-07-17T13:18:21.203

Modified: 2022-07-27T15:36:57.243

Link: CVE-2017-11348

JSON object: View

cve-icon Redhat Information

No data.

CWE