CVE-2025-6011

Опубликовано: 01 авг. 2025

Источник: nvd

CVSS3: 3.7

EPSS Низкий

Описание

A timing side channel in Vault and Vault Enterprise’s (“Vault”) userpass auth method allowed an attacker to distinguish between existing and non-existing users, and potentially enumerate valid usernames for Vault’s Userpass auth method. Fixed in Vault Community Edition 1.20.1 and Vault Enterprise 1.20.1, 1.19.7, 1.18.12, and 1.16.23.

Ссылки

https://discuss.hashicorp.com/t/hcsec-2025-15-timing-side-channel-in-vault-s-userpass-auth-method/76034
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия до 1.16.23 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:*

Версия до 1.20.1 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.17.0 (включая) до 1.18.12 (исключая)

cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:*

Версия от 1.19.0 (включая) до 1.19.7 (исключая)

cpe:2.3:a:hashicorp:vault:1.20.0:*:*:*:enterprise:*:*:*

EPSS

Процентиль: 4%

0.00019

Низкий

3.7 Low

CVSS3

Дефекты

CWE-203

Связанные уязвимости

CVE-2025-6011

CVSS3: 3.7

redhat

5 месяцев назад

GHSA-mwgr-84fv-3jh9

CVSS3: 3.7

github

5 месяцев назад

Hashicorp Vault has an Observable Discrepancy on Existing and Non-Existing Users

BDU:2025-11264

CVSS3: 3.7

fstec

5 месяцев назад

Уязвимость функции CompareHashAndPassword платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, связанная с раскрытием информации из-за несоответствия во времени, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

ROS-20250905-07

CVSS3: 9.1

redos

3 месяца назад

Множественные уязвимости vault

EPSS

Процентиль: 4%

0.00019

Низкий

3.7 Low

CVSS3

Дефекты

CWE-203