CVE-2025-12044

Опубликовано: 23 окт. 2025

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

Vault and Vault Enterprise (“Vault”) are vulnerable to an unauthenticated denial of service when processing JSON payloads. This occurs due to a regression from a previous fix for [+HCSEC-2025-24+|https://discuss.hashicorp.com/t/hcsec-2025-24-vault-denial-of-service-though-complex-json-payloads/76393] which allowed for processing JSON payloads before applying rate limits. This vulnerability, CVE-2025-12044, is fixed in Vault Community Edition 1.21.0 and Vault Enterprise 1.16.27, 1.19.11, 1.20.5, and 1.21.0.

Ссылки

https://discuss.hashicorp.com/t/hcsec-2025-31-vault-vulnerable-to-denial-of-service-due-to-rate-limit-regression/76710
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.16.25 (включая) до 1.16.27 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.18.14 (включая) до 1.18.15 (включая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.19.9 (включая) до 1.19.11 (включая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.20.3 (включая) до 1.20.5 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия от 1.20.3 (включая) до 1.21.0 (исключая)

EPSS

Процентиль: 32%

0.00121

Низкий

7.5 High

CVSS3

Дефекты

CWE-770

Связанные уязвимости

GHSA-vp5w-xcfc-73wf

CVSS3: 7.5

github

3 месяца назад

Hashicorp Vault and Vault Enterprise vulnerable to a denial of service when processing JSON

BDU:2025-13410

CVSS3: 7.5

fstec

3 месяца назад

Уязвимость системы контроля доступом Vault и платформы для архивирования корпоративной информации Vault Enterprise, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

ROS-20251128-03

CVSS3: 8.1

redos

около 2 месяцев назад

Множественные уязвимости vault

EPSS

Процентиль: 32%

0.00121

Низкий

7.5 High

CVSS3

Дефекты

CWE-770