Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20250526-06

Опубликовано: 26 мая 2025
Источник: redos

Описание

Множественные уязвимости vault

Наименование уязвимого пакета

vault

Пакет обновления

vault-0:1.18.1-1.el7.x86_64

Версия уязвимого пакета младше

1.18.1-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета vault или Установить обновление для пакета(ов) vault

Версия ОС

7.3

Архитектура ОС

x86_64

Дата публикации бюллетеня

26.05.2025

CVE-2023-25000

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с тем, что реализация Shamir использует предварительно вычисленные табличные поиски. Эксплуатация уязвимости может позволить нарушителю получить доступ к потенциально конфиденциальной информации

4.7 Medium

CVSS3

3.8 Low

CVSS2

CVE-2022-41316

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с ошибкой в реализации списков отзыва сертификатов (CRL), которая не позволяла Vault отказать в доступе пользователям с отозванными сертификатами без перезагрузки приложения. Эксплуатация уязвимости может позволить нарушителю обойти процесс аутентификации

5.3 Medium

CVSS3

5 Medium

CVSS2

CVE-2023-2121

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с недостаточной очисткой предоставленных пользователем данных в просмотрщике различий key-value v2 (kv-v2). Эксплуатация уязвимости может позволить нарушителю выполнять атаки с использованием межсайтового скриптинга (XSS)

5.4 Medium

CVSS3

5.5 Medium

CVSS2

CVE-2023-0620

Идентификатор БДУ ФСТЭК России:

BDU:2024-01786

Описание уязвимости:

Уязвимость компонента MSSQL Database Storage Backend платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные SQL-команды

6.7 Medium

CVSS3

6.5 Medium

CVSS2

CVE-2023-0665

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с тем, что конечные точки эмитента PKI некорректно авторизуют доступ для удаления эмитента или изменения метаданных эмитента. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

6.5 Medium

CVSS3

6.4 Medium

CVSS2

CVE-2023-24999

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с обработкой аутентификации на основе Approle SecretID. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

8.1 High

CVSS3

8.5 High

CVSS2