Jörn Heissler

**Nome do software vulnerável e versões afetadas** Versões do HashiCorp Vault Community Edition anteriores à 1.17.6 Versões do HashiCorp Vault Enterprise anteriores à 1.17.6, 1.16.10 e 1.15.15 **Descrição** O problema decorre do fato de o mecanismo de segredos SSH não exigir que a lista `valid principals` contenha um valor por padrão. Se os campos `valid principals` e `default user` da configuração do mecanismo de segredos SSH não estiverem definidos, um certificado SSH solicitado por um usuário autorizado ao mecanismo de segredos SSH do Vault poderá ser usado para autenticar qualquer usuário no host. **Recomendações** Para versões do HashiCorp Vault Community Edition anteriores à 1.17.6, atualize para a versão 1.17.6 ou posterior. Para versões do HashiCorp Vault Enterprise anteriores à 1.17.6, atualize para a versão 1.17.6 ou posterior. Para versões do HashiCorp Vault Enterprise anteriores à 1.16.10, atualize para a versão 1.16.10 ou posterior. Para versões do HashiCorp Vault Enterprise anteriores à 1.15.15, atualize para a versão 1.15.15 ou posterior. Como solução alternativa temporária, considere definir os campos `valid principals` e `default user` na configuração do mecanismo de segredos SSH para restringir o acesso.