OpenTofu kann versehentlich sensible Variablen in Modul-Quellen und Backend-Konfigurationen preisgeben, wenn statische Auswertung aktiviert ist, obwohl dies blockiert werden sollte.
OpenTofu, ein Infrastructure-as-Code-Tool, ist anfällig für Denial-of-Service-Angriffe während der Modulinstallation, wenn bösartig gestaltete TLS-Zertifikate oder Archive von nicht vertrauenswürdigen Quellen verwendet werden, was zu hoher CPU-Last oder Speicherverbrauch führen kann.
OpenTofu prüft TLS-Zertifikate nicht korrekt, wenn ausgeschlossene Subdomains und Wildcard-Zertifikate kombiniert werden, wodurch Angreifer mit gültigen aber widersprüchlichen Zertifikaten Verbindungen zu geschützten Servern herstellen könnten.
OpenTofu, ein Infrastructure-as-Code-Tool, ist anfällig für Denial-of-Service-Angriffe durch bösartig erstellte ZIP-Archive beim Installieren von Modulen oder Providern, was zu hoher CPU-Auslastung führt.
OpenTofu kann beim Installieren von Modulen aus nicht vertrauenswürdigen Quellen durch bösartige TLS-Zertifikate oder Tar-Archive zum Absturz gebracht werden, was zu unbegrenztem Speicherverbrauch oder hoher CPU-Last führt.
OpenTofu folgt bei der Provider-Installation symbolischen Links im .terraform/providers Verzeichnis und kann dadurch Dateien in beliebige Verzeichnisse schreiben, wenn ein Angreifer das Arbeitsverzeichnis kontrolliert.
OpenTofu kann bei der Installation von Modulen oder Providern von bösartigen Servern in eine Endlosschleife geraten, wodurch der Installationsprozess blockiert und Systemressourcen erschöpft werden.