Alex Scheel

Nome do Software Vulnerável e Versões Afetadas: Versões do Vault Community e Vault Enterprise anteriores à 1.20.0 Versões do Vault Enterprise anteriores às 1.19.6, 1.18.11, 1.17.17 e 1.16.22 Descrição: O problema está relacionado ao cancelamento não controlado por um operador do Vault durante operações de rekey e de chave de recuperação, resultando em uma negação de serviço. Recomendações: Para o Vault Community Edition, atualize para a versão 1.20.0 ou superior. Para o Vault Enterprise, atualize para a versão 1.20.0, 1.19.6, 1.18.11, 1.17.17, 1.16.22 ou superior. Como solução temporária, considere restringir o acesso às operações de rekey e de chave de recuperação para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do HashiCorp Vault anteriores à 1.15.9 Versões do HashiCorp Vault anteriores à 1.16.3 Versões do HashiCorp Vault anteriores à 1.17.0 Descrição: O problema decorre da validação inadequada da reivindicação de público-alvo vinculada à função do JSON Web Token (JWT) ao usar o método de autenticação JWT do Vault. Isso pode fazer com que o Vault valide um JWT mesmo quando as reivindicações de público-alvo e de função não correspondem, permitindo que um login inválido seja bem-sucedido. Recomendações: Para versões anteriores à 1.15.9, atualize para a versão 1.15.9 ou posterior. Para versões anteriores à 1.16.3, atualize para a versão 1.16.3 ou posterior. Para versões anteriores à 1.17.0, atualize para a versão 1.17.0 ou posterior.