GHSA-32cj-5wx4-gq8p

Опубликовано: 12 июн. 2024

Источник: github

Github: Прошло ревью

CVSS3: 2.6

Описание

HashiCorp Vault Incorrectly Validated JSON Web Tokens (JWT) Audience Claims

Vault and Vault Enterprise did not properly validate the JSON Web Token (JWT) role-bound audience claim when using the Vault JWT auth method. This may have resulted in Vault validating a JWT the audience and role-bound claims do not match, allowing an invalid login to succeed when it should have been rejected.

This vulnerability, CVE-2024-5798, was fixed in Vault and Vault Enterprise 1.17.0, 1.16.3, and 1.15.9

Ссылки

Пакеты

Наименование

github.com/hashicorp/vault

Затронутые версииВерсия исправления

= 1.17.0-rc1

1.17.0

Наименование

github.com/hashicorp/vault

Затронутые версииВерсия исправления

>= 1.16.0-rc1, < 1.16.3

1.16.3

Наименование

github.com/hashicorp/vault

Затронутые версииВерсия исправления

>= 0.11.0, < 1.15.9

1.15.9

EPSS

Процентиль: 45%

0.0022

Низкий

2.6 Low

CVSS3

CVE ID

CVE-2024-5798

Дефекты

CWE-285

Связанные уязвимости

CVE-2024-5798

CVSS3: 2.6

redhat

больше 1 года назад

CVE-2024-5798

CVSS3: 2.6

nvd

больше 1 года назад

BDU:2025-10836

CVSS3: 7.5

fstec

больше 1 года назад

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильной аутентификацией, позволяющая нарушителю обойти существующие ограничения безопасности

ROS-20250828-07

CVSS3: 7.5

redos

4 месяца назад

Уязвимость vault

EPSS

Процентиль: 45%

0.0022

Низкий

2.6 Low

CVSS3

CVE ID

CVE-2024-5798

Дефекты

CWE-285