GHSA-wmg5-g953-qqfw

Опубликовано: 06 июл. 2023

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Hashicorp Vault Fails to Verify if Approle SecretID Belongs to Role During a Destroy Operation

When using the Vault and Vault Enterprise (Vault) approle auth method, any authenticated user with access to the /auth/approle/role/:role_name/secret-id-accessor/destroy endpoint can destroy the secret ID of any other role by providing the secret ID accessor. This vulnerability, CVE-2023-24999, has been fixed in Vault 1.13.0, 1.12.4, 1.11.8, 1.10.11 and above.

Ссылки

Пакеты

Наименование

github.com/hashicorp/vault

Затронутые версииВерсия исправления

< 1.10.11

1.10.11

Наименование

github.com/hashicorp/vault

Затронутые версииВерсия исправления

>= 1.11.0, < 1.11.8

1.11.8

Наименование

github.com/hashicorp/vault

Затронутые версииВерсия исправления

>= 1.12.0, < 1.12.4

1.12.4

EPSS

Процентиль: 31%

0.00112

Низкий

8.1 High

CVSS3

CVE ID

CVE-2023-24999

Связанные уязвимости

CVE-2023-24999

CVSS3: 8.1

redhat

больше 2 лет назад

HashiCorp Vault and Vault Enterprise’s approle auth method allowed any authenticated user with access to an approle destroy endpoint to destroy the secret ID of any other role by providing the secret ID accessor. This vulnerability is fixed in Vault 1.13.0, 1.12.4, 1.11.8, 1.10.11 and above.

CVE-2023-24999

CVSS3: 4.4

nvd

больше 2 лет назад

BDU:2025-06177

CVSS3: 8.1

fstec

больше 2 лет назад

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании

ROS-20250526-06

CVSS3: 8.1

redos

24 дня назад

Множественные уязвимости vault

EPSS

Процентиль: 31%

0.00112

Низкий

8.1 High

CVSS3

CVE ID

CVE-2023-24999