Описание
Множественные уязвимости vault
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета vault или Установить обновление для пакета(ов) vault
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
05.09.2025
CVE-2025-6011
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость механизма блокировки пользователя платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition связана с обработкой приложением запросов на аутентификацию при аутентификации пользователей по имени пользователя и паролю. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, угадывать существующие учетные записи пользователей
3.7 Low
CVSS3
2.6 Low
CVSS2
CVE-2025-6004
Идентификатор БДУ ФСТЭК России:
BDU:2025-09564Описание уязвимости:
Уязвимость механизма блокировки пользователя платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности при использовании методов аутентификации Userpass и LDAP
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2025-6014
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость механизма блокировки пользователя платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition связана с тем, что записи использованного кода в кэше TOTP не были нормализованы, что позволяет повторно использовать существующие коды путём добавления пробелов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти аутентификацию TOTP
6.5 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2025-6015
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость механизма блокировки пользователя платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition связана с тем, что приложение не выполняет корректную нормализацию кодов TOTP перед применением проверки, выполняемой один раз за период действия. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти двухфакторную аутентификацию
5.7 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2025-6037
Идентификатор БДУ ФСТЭК России:
BDU:2025-09561Описание уязвимости:
Уязвимость метода аутентификации платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать вредоносный сертификат
6.8 Medium
CVSS3
9 Critical
CVSS2
CVE-2025-6013
Идентификатор БДУ ФСТЭК России:
BDU:2025-09582Описание уязвимости:
Уязвимость реализации протокола LDAP платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с некорректной нейтрализацией пробелов при обработке параметра username_as_alias. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
6.5 Medium
CVSS3
8.5 High
CVSS2
CVE-2025-6000
Идентификатор БДУ ФСТЭК России:
BDU:2025-09562Описание уязвимости:
Уязвимость компонента sys/audit платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ на выполнение произвольного кода
9.1 Critical
CVSS3
9 Critical
CVSS2