cfme is vulnerable to privilege escalation attacks. The vulnerability exists as CloudForms Management Engine (cfme) before 5.7.3 and 5.8.x before 5.8.1 lacks RBAC controls on certain methods in the rails application portion of CloudForms. An attacker with access could use a variety of methods within the rails application portion of CloudForms to escalate privileges.
www.securityfocus.com/bid/100148
access.redhat.com/errata/RHSA-2017:1601
access.redhat.com/errata/RHSA-2017:1758
access.redhat.com/errata/RHSA-2017:3484
access.redhat.com/security/updates/classification/#important
bugzilla.redhat.com/show_bug.cgi?id=1344690
bugzilla.redhat.com/show_bug.cgi?id=1401560
bugzilla.redhat.com/show_bug.cgi?id=1424267
bugzilla.redhat.com/show_bug.cgi?id=1429962
bugzilla.redhat.com/show_bug.cgi?id=1440105
bugzilla.redhat.com/show_bug.cgi?id=1449404
bugzilla.redhat.com/show_bug.cgi?id=1451831
bugzilla.redhat.com/show_bug.cgi?id=1457979
bugzilla.redhat.com/show_bug.cgi?id=1458287
bugzilla.redhat.com/show_bug.cgi?id=1460149
bugzilla.redhat.com/show_bug.cgi?id=1460656
bugzilla.redhat.com/show_bug.cgi?id=1460696
bugzilla.redhat.com/show_bug.cgi?id=1460938
bugzilla.redhat.com/show_bug.cgi?id=1462104
bugzilla.redhat.com/show_bug.cgi?id=1462146
bugzilla.redhat.com/show_bug.cgi?id=1463265
bugzilla.redhat.com/show_bug.cgi?id=1465077
bugzilla.redhat.com/show_bug.cgi?id=1465079
bugzilla.redhat.com/show_bug.cgi?id=1465080
bugzilla.redhat.com/show_bug.cgi?id=1465081
bugzilla.redhat.com/show_bug.cgi?id=1465082
bugzilla.redhat.com/show_bug.cgi?id=1465083
bugzilla.redhat.com/show_bug.cgi?id=1465084
bugzilla.redhat.com/show_bug.cgi?id=1465086
bugzilla.redhat.com/show_bug.cgi?id=1465088
bugzilla.redhat.com/show_bug.cgi?id=1465090
bugzilla.redhat.com/show_bug.cgi?id=1465091
bugzilla.redhat.com/show_bug.cgi?id=1465093
bugzilla.redhat.com/show_bug.cgi?id=1465415
bugzilla.redhat.com/show_bug.cgi?id=1468593
bugzilla.redhat.com/show_bug.cgi?id=1468606
bugzilla.redhat.com/show_bug.cgi?id=1468612
bugzilla.redhat.com/show_bug.cgi?id=1468613
bugzilla.redhat.com/show_bug.cgi?id=1468614
bugzilla.redhat.com/show_bug.cgi?id=1468633
bugzilla.redhat.com/show_bug.cgi?id=1469297
bugzilla.redhat.com/show_bug.cgi?id=1469703
bugzilla.redhat.com/show_bug.cgi?id=1471201
bugzilla.redhat.com/show_bug.cgi?id=1471202
bugzilla.redhat.com/show_bug.cgi?id=1471204
bugzilla.redhat.com/show_bug.cgi?id=1471315
bugzilla.redhat.com/show_bug.cgi?id=1472364
bugzilla.redhat.com/show_bug.cgi?id=1472381
bugzilla.redhat.com/show_bug.cgi?id=1472383
bugzilla.redhat.com/show_bug.cgi?id=1472384
bugzilla.redhat.com/show_bug.cgi?id=1472806
bugzilla.redhat.com/show_bug.cgi?id=1473271
bugzilla.redhat.com/show_bug.cgi?id=1475020
bugzilla.redhat.com/show_bug.cgi?id=1475031
bugzilla.redhat.com/show_bug.cgi?id=1476270
bugzilla.redhat.com/show_bug.cgi?id=1476279
bugzilla.redhat.com/show_bug.cgi?id=1476284
bugzilla.redhat.com/show_bug.cgi?id=1476296
bugzilla.redhat.com/show_bug.cgi?id=1476395
bugzilla.redhat.com/show_bug.cgi?id=1477195
bugzilla.redhat.com/show_bug.cgi?id=1477617
bugzilla.redhat.com/show_bug.cgi?id=1477722
bugzilla.redhat.com/show_bug.cgi?id=1477723
bugzilla.redhat.com/show_bug.cgi?id=1477725
bugzilla.redhat.com/show_bug.cgi?id=1477727
bugzilla.redhat.com/show_bug.cgi?id=1478368
bugzilla.redhat.com/show_bug.cgi?id=1479377
bugzilla.redhat.com/show_bug.cgi?id=1479410
bugzilla.redhat.com/show_bug.cgi?id=1480630
bugzilla.redhat.com/show_bug.cgi?id=1481743
bugzilla.redhat.com/show_bug.cgi?id=1481859
bugzilla.redhat.com/show_bug.cgi?id=1481862
bugzilla.redhat.com/show_bug.cgi?id=1481864
bugzilla.redhat.com/show_bug.cgi?id=1481865
bugzilla.redhat.com/show_bug.cgi?id=1481867
bugzilla.redhat.com/show_bug.cgi?id=1481870
bugzilla.redhat.com/show_bug.cgi?id=1482151
bugzilla.redhat.com/show_bug.cgi?id=1482672
bugzilla.redhat.com/show_bug.cgi?id=1484387
bugzilla.redhat.com/show_bug.cgi?id=1484541
bugzilla.redhat.com/show_bug.cgi?id=1484549
bugzilla.redhat.com/show_bug.cgi?id=1487280
bugzilla.redhat.com/show_bug.cgi?id=1487289
bugzilla.redhat.com/show_bug.cgi?id=1487297
bugzilla.redhat.com/show_bug.cgi?id=1487307
bugzilla.redhat.com/show_bug.cgi?id=1487321
bugzilla.redhat.com/show_bug.cgi?id=1487323
bugzilla.redhat.com/show_bug.cgi?id=1487686
bugzilla.redhat.com/show_bug.cgi?id=1487694
bugzilla.redhat.com/show_bug.cgi?id=1490434
bugzilla.redhat.com/show_bug.cgi?id=1491576
bugzilla.redhat.com/show_bug.cgi?id=1492158
bugzilla.redhat.com/show_bug.cgi?id=1492867
bugzilla.redhat.com/show_bug.cgi?id=1493700
bugzilla.redhat.com/show_bug.cgi?id=1494189
bugzilla.redhat.com/show_bug.cgi?id=1495971
bugzilla.redhat.com/show_bug.cgi?id=1496597
bugzilla.redhat.com/show_bug.cgi?id=1497522
bugzilla.redhat.com/show_bug.cgi?id=1497748
bugzilla.redhat.com/show_bug.cgi?id=1498095
bugzilla.redhat.com/show_bug.cgi?id=1498131
bugzilla.redhat.com/show_bug.cgi?id=1498232
bugzilla.redhat.com/show_bug.cgi?id=1500050
bugzilla.redhat.com/show_bug.cgi?id=1500052
bugzilla.redhat.com/show_bug.cgi?id=1500067
bugzilla.redhat.com/show_bug.cgi?id=1500995
bugzilla.redhat.com/show_bug.cgi?id=1501478
bugzilla.redhat.com/show_bug.cgi?id=1502739
bugzilla.redhat.com/show_bug.cgi?id=1505417
bugzilla.redhat.com/show_bug.cgi?id=1505458
bugzilla.redhat.com/show_bug.cgi?id=1505468
bugzilla.redhat.com/show_bug.cgi?id=1505546
bugzilla.redhat.com/show_bug.cgi?id=1506626
bugzilla.redhat.com/show_bug.cgi?id=1509420
bugzilla.redhat.com/show_bug.cgi?id=1517712
bugzilla.redhat.com/show_bug.cgi?id=1521043
bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2664