CVE-2017-11348

Published: Jul 17, 2017Modified: May 13, 2026

5.7

Vector

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N

Exploitability: 2.1 / Impact: 3.6

Source: NVD

Description

In Octopus Deploy 3.x before 3.15.4, an authenticated user with PackagePush permission to upload packages could upload a maliciously crafted NuGet package, potentially overwriting other packages or modifying system files. This is a directory traversal in the PackageId value.

Affected (192)

Products: Octopus: Octopus Deploy, Octopus Server

Octopus

2 products

Octopus Deploy

Octopus Server

Configuration A

192 vulnerable

Vulnerable Software	Affected Versions
Octopus Octopus Deploy	Version 3.6.0
Octopus Octopus Deploy	Version 3.7.0
Octopus Octopus Server	Version 3.0.0
Octopus Octopus Server	Version 3.0.10
Octopus Octopus Server	Version 3.0.11
Octopus Octopus Server	Version 3.0.12
Octopus Octopus Server	Version 3.0.13
Octopus Octopus Server	Version 3.0.14
Octopus Octopus Server	Version 3.0.15
Octopus Octopus Server	Version 3.0.16
Octopus Octopus Server	Version 3.0.17
Octopus Octopus Server	Version 3.0.18
Octopus Octopus Server	Version 3.0.19
Octopus Octopus Server	Version 3.0.1
Octopus Octopus Server	Version 3.0.20
Octopus Octopus Server	Version 3.0.21
Octopus Octopus Server	Version 3.0.22
Octopus Octopus Server	Version 3.0.23
Octopus Octopus Server	Version 3.0.24
Octopus Octopus Server	Version 3.0.25
Octopus Octopus Server	Version 3.0.26
Octopus Octopus Server	Version 3.0.2
Octopus Octopus Server	Version 3.0.3
Octopus Octopus Server	Version 3.0.4
Octopus Octopus Server	Version 3.0.5
Octopus Octopus Server	Version 3.0.6
Octopus Octopus Server	Version 3.0.7
Octopus Octopus Server	Version 3.0.8
Octopus Octopus Server	Version 3.0.9
Octopus Octopus Server	Version 3.1.0
Octopus Octopus Server	Version 3.1.0 beta0001
Octopus Octopus Server	Version 3.1.0 beta0002
Octopus Octopus Server	Version 3.1.12
Octopus Octopus Server	Version 3.1.13
Octopus Octopus Server	Version 3.1.1
Octopus Octopus Server	Version 3.1.2
Octopus Octopus Server	Version 3.1.3
Octopus Octopus Server	Version 3.1.4
Octopus Octopus Server	Version 3.1.5
Octopus Octopus Server	Version 3.1.6
Octopus Octopus Server	Version 3.1.7
Octopus Octopus Server	Version 3.10.0
Octopus Octopus Server	Version 3.10.1
Octopus Octopus Server	Version 3.11.0
Octopus Octopus Server	Version 3.11.10
Octopus Octopus Server	Version 3.11.11
Octopus Octopus Server	Version 3.11.12
Octopus Octopus Server	Version 3.11.13
Octopus Octopus Server	Version 3.11.14
Octopus Octopus Server	Version 3.11.15
Octopus Octopus Server	Version 3.11.16
Octopus Octopus Server	Version 3.11.17
Octopus Octopus Server	Version 3.11.18
Octopus Octopus Server	Version 3.11.1
Octopus Octopus Server	Version 3.11.2
Octopus Octopus Server	Version 3.11.3
Octopus Octopus Server	Version 3.11.4
Octopus Octopus Server	Version 3.11.5
Octopus Octopus Server	Version 3.11.6
Octopus Octopus Server	Version 3.11.7
Octopus Octopus Server	Version 3.11.9
Octopus Octopus Server	Version 3.12.0
Octopus Octopus Server	Version 3.12.1
Octopus Octopus Server	Version 3.12.2
Octopus Octopus Server	Version 3.12.3
Octopus Octopus Server	Version 3.12.4
Octopus Octopus Server	Version 3.12.5
Octopus Octopus Server	Version 3.12.6
Octopus Octopus Server	Version 3.12.7
Octopus Octopus Server	Version 3.12.9
Octopus Octopus Server	Version 3.13.0
Octopus Octopus Server	Version 3.13.10
Octopus Octopus Server	Version 3.13.1
Octopus Octopus Server	Version 3.13.2
Octopus Octopus Server	Version 3.13.3
Octopus Octopus Server	Version 3.13.5
Octopus Octopus Server	Version 3.13.6
Octopus Octopus Server	Version 3.13.7
Octopus Octopus Server	Version 3.13.9
Octopus Octopus Server	Version 3.14.15926
Octopus Octopus Server	Version 3.14.1592
Octopus Octopus Server	Version 3.14.159
Octopus Octopus Server	Version 3.14.15
Octopus Octopus Server	Version 3.14.1
Octopus Octopus Server	Version 3.15.0
Octopus Octopus Server	Version 3.15.1
Octopus Octopus Server	Version 3.15.2
Octopus Octopus Server	Version 3.15.3
Octopus Octopus Server	Version 3.2.0
Octopus Octopus Server	Version 3.2.0 beta0001
Octopus Octopus Server	Version 3.2.10
Octopus Octopus Server	Version 3.2.11
Octopus Octopus Server	Version 3.2.15
Octopus Octopus Server	Version 3.2.16
Octopus Octopus Server	Version 3.2.17
Octopus Octopus Server	Version 3.2.19
Octopus Octopus Server	Version 3.2.1
Octopus Octopus Server	Version 3.2.20
Octopus Octopus Server	Version 3.2.21
Octopus Octopus Server	Version 3.2.22
Octopus Octopus Server	Version 3.2.23
Octopus Octopus Server	Version 3.2.24
Octopus Octopus Server	Version 3.2.2
Octopus Octopus Server	Version 3.2.3
Octopus Octopus Server	Version 3.2.4
Octopus Octopus Server	Version 3.2.6
Octopus Octopus Server	Version 3.2.7
Octopus Octopus Server	Version 3.2.8
Octopus Octopus Server	Version 3.2.9
Octopus Octopus Server	Version 3.3.0
Octopus Octopus Server	Version 3.3.0 beta0001
Octopus Octopus Server	Version 3.3.0 beta0002
Octopus Octopus Server	Version 3.3.10
Octopus Octopus Server	Version 3.3.11
Octopus Octopus Server	Version 3.3.12
Octopus Octopus Server	Version 3.3.14
Octopus Octopus Server	Version 3.3.15
Octopus Octopus Server	Version 3.3.16
Octopus Octopus Server	Version 3.3.17
Octopus Octopus Server	Version 3.3.18
Octopus Octopus Server	Version 3.3.19
Octopus Octopus Server	Version 3.3.1
Octopus Octopus Server	Version 3.3.20
Octopus Octopus Server	Version 3.3.21
Octopus Octopus Server	Version 3.3.22
Octopus Octopus Server	Version 3.3.24
Octopus Octopus Server	Version 3.3.25
Octopus Octopus Server	Version 3.3.26
Octopus Octopus Server	Version 3.3.27
Octopus Octopus Server	Version 3.3.2
Octopus Octopus Server	Version 3.3.3
Octopus Octopus Server	Version 3.3.4
Octopus Octopus Server	Version 3.3.5
Octopus Octopus Server	Version 3.3.6
Octopus Octopus Server	Version 3.3.8
Octopus Octopus Server	Version 3.3.9
Octopus Octopus Server	Version 3.4.0
Octopus Octopus Server	Version 3.4.0 beta0001
Octopus Octopus Server	Version 3.4.0 beta0002
Octopus Octopus Server	Version 3.4.10
Octopus Octopus Server	Version 3.4.11
Octopus Octopus Server	Version 3.4.12
Octopus Octopus Server	Version 3.4.13
Octopus Octopus Server	Version 3.4.14
Octopus Octopus Server	Version 3.4.15
Octopus Octopus Server	Version 3.4.1
Octopus Octopus Server	Version 3.4.3
Octopus Octopus Server	Version 3.4.4
Octopus Octopus Server	Version 3.4.5
Octopus Octopus Server	Version 3.4.6
Octopus Octopus Server	Version 3.4.7
Octopus Octopus Server	Version 3.4.8
Octopus Octopus Server	Version 3.4.9
Octopus Octopus Server	Version 3.5.1
Octopus Octopus Server	Version 3.5.2
Octopus Octopus Server	Version 3.5.4
Octopus Octopus Server	Version 3.5.5
Octopus Octopus Server	Version 3.5.6
Octopus Octopus Server	Version 3.5.7
Octopus Octopus Server	Version 3.5.8
Octopus Octopus Server	Version 3.5.9
Octopus Octopus Server	Version 3.6.1
Octopus Octopus Server	Version 3.6.2
Octopus Octopus Server	Version 3.7.10
Octopus Octopus Server	Version 3.7.11
Octopus Octopus Server	Version 3.7.12
Octopus Octopus Server	Version 3.7.13
Octopus Octopus Server	Version 3.7.14
Octopus Octopus Server	Version 3.7.15
Octopus Octopus Server	Version 3.7.16
Octopus Octopus Server	Version 3.7.17
Octopus Octopus Server	Version 3.7.18
Octopus Octopus Server	Version 3.7.1
Octopus Octopus Server	Version 3.7.2
Octopus Octopus Server	Version 3.7.3
Octopus Octopus Server	Version 3.7.4
Octopus Octopus Server	Version 3.7.5
Octopus Octopus Server	Version 3.7.6
Octopus Octopus Server	Version 3.7.7
Octopus Octopus Server	Version 3.7.8
Octopus Octopus Server	Version 3.7.9
Octopus Octopus Server	Version 3.8.0
Octopus Octopus Server	Version 3.8.1
Octopus Octopus Server	Version 3.8.2
Octopus Octopus Server	Version 3.8.3
Octopus Octopus Server	Version 3.8.4
Octopus Octopus Server	Version 3.8.5
Octopus Octopus Server	Version 3.8.6
Octopus Octopus Server	Version 3.8.7
Octopus Octopus Server	Version 3.8.8
Octopus Octopus Server	Version 3.8.9
Octopus Octopus Server	Version 3.9.0

Related CWEs

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

The product uses external input to construct a pathname that is intended to identify a file or directory that is located underneath a restricted parent directory, but the product does not properly neutralize special elements within the pathname that can cause the pathname to resolve to a location that is outside of the restricted directory.

References (2)

https://github.com/OctopusDeploy/Issues/issues/3654

Source: cve@mitre.org

Third Party Advisory

https://github.com/OctopusDeploy/Issues/issues/3654

Source: af854a3a-2127-422b-91ae-364da2661108

Third Party Advisory

Timeline

No history available yet.