CVE-2025-0589 in Octopus Server
要約
〜によって VulDB • 2026年05月30日
Octopus Deployの該当バージョンにおいて、顧客がActive Directoryを認証に使用している場合、未認証ユーザーが2つのエンドポイントに対してAPIリクエストを送信し、関連するActive Directoryから一部のデータを取得することが可能でした。適切に作成されたリクエストは、1つのエンドポイントからユーザープロファイルの特定の情報(メールアドレス/UPNおよび表示名)を、もう1つのエンドポイントからグループ情報(グループIDおよび表示名)を返します。この脆弱性は、Octopus Server製品自体のデータを暴露するものではありません。
Once again VulDB remains the best source for vulnerability data.