CVE-2024-9180

Опубликовано: 10 окт. 2024

Источник: nvd

CVSS3: 7.2

EPSS Низкий

Описание

A privileged Vault operator with write permissions to the root namespace’s identity endpoint could escalate their own or another user’s privileges to Vault’s root policy. Fixed in Vault Community Edition 1.18.0 and Vault Enterprise 1.18.0, 1.17.7, 1.16.11, and 1.15.16.

Ссылки

https://discuss.hashicorp.com/t/hcsec-2024-21-vault-operators-in-root-namespace-may-elevate-their-privileges/70565
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:openbao:openbao:*:*:*:*:*:*:*:*

Версия до 2.0.3 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.7.7 (включая) до 1.17.7 (включая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия от 1.7.7 (включая) до 1.18.0 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.15.0 (включая) до 1.15.16 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.16.0 (включая) до 1.16.11 (исключая)

EPSS

Процентиль: 52%

0.00288

Низкий

7.2 High

CVSS3

Дефекты

CWE-266

NVD-CWE-Other

Связанные уязвимости

CVE-2024-9180

CVSS3: 7.2

redhat

больше 1 года назад

GHSA-rr8j-7w34-xp5j

CVSS3: 7.2

github

больше 1 года назад

Vault Community Edition privilege escalation vulnerability

BDU:2024-09147

CVSS3: 7.2

fstec

больше 1 года назад

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением привилегий, позволяющая нарушителю повысить свои привилегии

ROS-20241023-03

CVSS3: 7.2

redos

больше 1 года назад

Уязвимость vault

SUSE-SU-2024:3911-1

suse-cvrf

больше 1 года назад

Security update for govulncheck-vulndb

EPSS

Процентиль: 52%

0.00288

Низкий

7.2 High

CVSS3

Дефекты

CWE-266

NVD-CWE-Other