CVE-2023-24999

Опубликовано: 11 мар. 2023

Источник: nvd

CVSS3: 4.4

CVSS3: 8.1

EPSS Низкий

Описание

HashiCorp Vault and Vault Enterprise’s approle auth method allowed any authenticated user with access to an approle destroy endpoint to destroy the secret ID of any other role by providing the secret ID accessor. This vulnerability is fixed in Vault 1.13.0, 1.12.4, 1.11.8, 1.10.11 and above.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия до 1.10.11 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия до 1.10.11 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия от 1.11.0 (включая) до 1.11.8 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.11.0 (включая) до 1.11.8 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия от 1.12.0 (включая) до 1.12.4 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.12.0 (включая) до 1.12.4 (исключая)

EPSS

Процентиль: 31%

0.00112

Низкий

4.4 Medium

CVSS3

8.1 High

CVSS3

Дефекты

CWE-863

Связанные уязвимости

CVE-2023-24999

CVSS3: 8.1

redhat

больше 2 лет назад

GHSA-wmg5-g953-qqfw

CVSS3: 8.1

github

почти 2 года назад

Hashicorp Vault Fails to Verify if Approle SecretID Belongs to Role During a Destroy Operation

BDU:2025-06177

CVSS3: 8.1

fstec

больше 2 лет назад

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с недостатками механизма авторизации, позволяющая нарушителю вызвать отказ в обслуживании

ROS-20250526-06

CVSS3: 8.1

redos

24 дня назад

Множественные уязвимости vault

EPSS

Процентиль: 31%

0.00112

Низкий

4.4 Medium

CVSS3

8.1 High

CVSS3

Дефекты

CWE-863