Описание
HashiCorp Vault and Vault Enterprise versions 0.7.1 and newer, when configured with the AWS IAM auth method, may be vulnerable to authentication bypass. Fixed in 1.2.5, 1.3.8, 1.4.4, and 1.5.1..
Ссылки
- Third Party AdvisoryVDB Entry
- Release NotesVendor Advisory
- ProductVendor Advisory
- Third Party AdvisoryVDB Entry
- Release NotesVendor Advisory
- ProductVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 0.7.1 (включая) до 1.2.5 (исключая)Версия от 0.7.1 (включая) до 1.2.5 (исключая)
Одно из
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*
Конфигурация 2Версия от 1.3.0 (включая) до 1.3.8 (исключая)Версия от 1.3.0 (включая) до 1.3.8 (исключая)
Одно из
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*
Конфигурация 3Версия от 1.4.0 (включая) до 1.4.4 (исключая)Версия от 1.4.0 (включая) до 1.4.4 (исключая)
Одно из
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*
Конфигурация 4Версия от 1.5.0 (включая) до 1.5.1 (исключая)Версия от 1.5.0 (включая) до 1.5.1 (исключая)
Одно из
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*
EPSS
Процентиль: 82%
0.01771
Низкий
8.2 High
CVSS3
7.5 High
CVSS2
Дефекты
CWE-290
Связанные уязвимости
CVSS3: 8.2
redhat
больше 5 лет назад
HashiCorp Vault and Vault Enterprise versions 0.7.1 and newer, when configured with the AWS IAM auth method, may be vulnerable to authentication bypass. Fixed in 1.2.5, 1.3.8, 1.4.4, and 1.5.1..
CVSS3: 8.2
github
больше 4 лет назад
Authentication Bypass by Spoofing and Insufficient Verification of Data Authenticity in Hashicorp Vault
EPSS
Процентиль: 82%
0.01771
Низкий
8.2 High
CVSS3
7.5 High
CVSS2
Дефекты
CWE-290