Hashicorp · Hashicorp Vault · CVE-2024-5798
Nome do software vulnerável e versões afetadas:
Versões do HashiCorp Vault anteriores à 1.15.9
Versões do HashiCorp Vault anteriores à 1.16.3
Versões do HashiCorp Vault anteriores à 1.17.0
Descrição:
O problema decorre da validação inadequada da reivindicação de público-alvo vinculada à função do JSON Web Token (JWT) ao usar o método de autenticação JWT do Vault. Isso pode fazer com que o Vault valide um JWT mesmo quando as reivindicações de público-alvo e de função não correspondem, permitindo que um login inválido seja bem-sucedido.
Recomendações:
Para versões anteriores à 1.15.9, atualize para a versão 1.15.9 ou posterior.
Para versões anteriores à 1.16.3, atualize para a versão 1.16.3 ou posterior.
Para versões anteriores à 1.17.0, atualize para a versão 1.17.0 ou posterior.