CVE-2021-41805

Опубликовано: 12 дек. 2021

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

HashiCorp Consul Enterprise before 1.8.17, 1.9.x before 1.9.11, and 1.10.x before 1.10.4 has Incorrect Access Control. An ACL token (with the default operator:write permissions) in one namespace can be used for unintended privilege escalation in a different namespace.

Ссылки

https://discuss.hashicorp.com/t/hcsec-2021-29-consul-enterprise-namespace-default-acls-allow-privilege-escalation/31871
Vendor Advisory
https://security.netapp.com/advisory/ntap-20211229-0007/
Third Party Advisory
https://www.hashicorp.com/blog/category/consul
Product
Vendor Advisory
https://discuss.hashicorp.com/t/hcsec-2021-29-consul-enterprise-namespace-default-acls-allow-privilege-escalation/31871
Vendor Advisory
https://security.netapp.com/advisory/ntap-20211229-0007/
Third Party Advisory
https://www.hashicorp.com/blog/category/consul
Product
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hashicorp:consul:*:*:*:*:enterprise:*:*:*

Версия от 1.7.0 (включая) до 1.8.17 (исключая)

cpe:2.3:a:hashicorp:consul:*:*:*:*:enterprise:*:*:*

Версия от 1.9.0 (включая) до 1.9.11 (исключая)

cpe:2.3:a:hashicorp:consul:*:*:*:*:enterprise:*:*:*

Версия от 1.10.0 (включая) до 1.10.4 (исключая)

EPSS

Процентиль: 84%

0.02299

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-863

Связанные уязвимости

CVE-2021-41805

CVSS3: 8.8

ubuntu

около 4 лет назад

CVE-2021-41805

CVSS3: 8.8

debian

около 4 лет назад

HashiCorp Consul Enterprise before 1.8.17, 1.9.x before 1.9.11, and 1. ...

GHSA-crxx-35wq-w63c

CVSS3: 8.8

github

около 4 лет назад

EPSS

Процентиль: 84%

0.02299

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-863