CVE-2023-5077

Опубликовано: 29 сент. 2023

Источник: redhat

CVSS3: 7.5

EPSS Низкий

Описание

The Vault and Vault Enterprise ("Vault") Google Cloud secrets engine did not preserve existing Google Cloud IAM Conditions upon creating or updating rolesets. Fixed in Vault 1.13.0.

A flaw was found in HashiCorp Vault and Vault Enterprise. This issue could allow a remote authenticated attacker to bypass security restrictions, due to a flaw in the Google Cloud secrets engine when creating or updating rolesets. By sending a specially crafted request, an attacker could exploit this vulnerability to bypass the IAM policy.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat OpenShift Container Platform 4	openshift4/topology-aware-lifecycle-manager-rhel8-operator	Not affected
Red Hat Openshift Container Storage 4	ocs4/cephcsi-rhel8	Out of support scope
Red Hat Openshift Container Storage 4	ocs4/mcg-rhel8-operator	Out of support scope
Red Hat Openshift Container Storage 4	ocs4/ocs-rhel8-operator	Out of support scope
Red Hat Openshift Container Storage 4	ocs4/rook-ceph-rhel8-operator	Out of support scope
Red Hat Openshift Data Foundation 4	odf4/cephcsi-rhel9	Affected
Red Hat Openshift Data Foundation 4	odf4/mcg-cli-rhel9	Not affected
Red Hat Openshift Data Foundation 4	odf4/mcg-rhel9-operator	Affected
Red Hat Openshift Data Foundation 4	odf4/ocs-client-rhel9-operator	Affected
Red Hat Openshift Data Foundation 4	odf4/ocs-rhel9-operator	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-732

https://bugzilla.redhat.com/show_bug.cgi?id=2241980hashicorp/vault: Google Cloud Secrets Engine Removed Existing IAM Conditions When Creating / Updating Rolesets

EPSS

Процентиль: 44%

0.00211

Низкий

7.5 High

CVSS3

Связанные уязвимости

CVE-2023-5077

CVSS3: 7.6

nvd

почти 2 года назад

The Vault and Vault Enterprise ("Vault") Google Cloud secrets engine did not preserve existing Google Cloud IAM Conditions upon creating or updating rolesets. Fixed in Vault 1.13.0.

GHSA-86c6-3g63-5w64

CVSS3: 7.6

github

почти 2 года назад

Hashicorp Vault Incorrect Permission Assignment for Critical Resource vulnerability

BDU:2024-06028

CVSS3: 7.5

fstec

почти 2 года назад

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю повысить свои привилегии

ROS-20240805-04

CVSS3: 8.1

redos

11 месяцев назад

Множественные уязвимости vault

EPSS

Процентиль: 44%

0.00211

Низкий

7.5 High

CVSS3