CVE-2025-0589 in Octopus Serverinformation

Résumé

par VulDB • 30/05/2026

Dans les versions concernées d'Octopus Deploy où les clients utilisent Active Directory pour l'authentification, il était possible pour un utilisateur non authentiqué d'effectuer une requête API vers deux points de terminaison (endpoints) afin de récupérer certaines données depuis l'Active Directory associé. Des requêtes correctement formulées permettaient de retourner des informations spécifiques issues des profils utilisateurs (adresse e-mail/UPN et nom d'affichage) via un point de terminaison, et des informations de groupe (ID de groupe et nom d'affichage) via l'autre. Cette vulnérabilité n'expose pas de données au sein du produit Octopus Server lui-même.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Octopus

Réserver

20/01/2025

Divulgation

11/02/2025

Modérer

accepté

Entrée

VDB-295212

CPE

prêt

EPSS

0.00342

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!