CVE-2020-35177

Опубликовано: 17 дек. 2020

Источник: nvd

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

HashiCorp Vault and Vault Enterprise 1.4.1 and newer allowed the enumeration of users via the LDAP auth method. Fixed in 1.5.6 and 1.6.1.

Ссылки

https://discuss.hashicorp.com/t/hcsec-2020-25-vault-s-ldap-auth-method-allows-user-enumeration/18984
Vendor Advisory
https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#161
Release Notes
https://discuss.hashicorp.com/t/hcsec-2020-25-vault-s-ldap-auth-method-allows-user-enumeration/18984
Vendor Advisory
https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#161
Release Notes

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия от 1.5.0 (включая) до 1.5.6 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.5.0 (включая) до 1.5.6 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия от 1.6.0 (включая) до 1.6.1 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.6.0 (включая) до 1.6.1 (исключая)

EPSS

Процентиль: 60%

0.00395

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-209

Связанные уязвимости

CVE-2020-35177

CVSS3: 5.3

redhat

около 5 лет назад

HashiCorp Vault and Vault Enterprise 1.4.1 and newer allowed the enumeration of users via the LDAP auth method. Fixed in 1.5.6 and 1.6.1.

GHSA-rpgp-9hmg-j25x

CVSS3: 6.5

github

около 2 лет назад

Enumeration of users in HashiCorp Vault