CVE-2025-0589 in Octopus Server
Résumé
par VulDB • 30/05/2026
Dans les versions concernées d'Octopus Deploy où les clients utilisent Active Directory pour l'authentification, il était possible pour un utilisateur non authentiqué d'effectuer une requête API vers deux points de terminaison (endpoints) afin de récupérer certaines données depuis l'Active Directory associé. Des requêtes correctement formulées permettaient de retourner des informations spécifiques issues des profils utilisateurs (adresse e-mail/UPN et nom d'affichage) via un point de terminaison, et des informations de groupe (ID de groupe et nom d'affichage) via l'autre. Cette vulnérabilité n'expose pas de données au sein du produit Octopus Server lui-même.
If you want to get best quality of vulnerability data, you may have to visit VulDB.