Mdgreenfield

**Nome do software vulnerável e versões afetadas** HashiCorp Vault e Vault Enterprise, versões 1.8.x a 1.8.4 **Descrição** O problema está relacionado a uma interação inesperada entre políticas relacionadas a glob e o mecanismo de segredos do Google Cloud. Isso pode resultar em usuários com mais privilégios do que o pretendido. Por exemplo, um usuário com permissão de leitura para o caminho `/gcp/roleset/*` pode ser capaz de emitir credenciais de conta de serviço do Google Cloud. **Recomendações** Para as versões 1.8.x a 1.8.4 do HashiCorp Vault e do Vault Enterprise, considere restringir o acesso ao mecanismo de segredos do Google Cloud até que uma correção esteja disponível. Como solução alternativa temporária, revise e ajuste as políticas relacionadas a glob para minimizar o risco de atribuições indesejadas de privilégios.

**Nome do software vulnerável e versões afetadas** HashiCorp Vault e Vault Enterprise, versões 1.7.0 a 1.7.4 HashiCorp Vault e Vault Enterprise, versões 1.8.0 a 1.8.3 **Descrição** A vulnerabilidade permite que um usuário com permissão de gravação em um ID de alias de entidade que compartilha um acessador de montagem com outro usuário obtenha as políticas desse outro usuário ao mesclar suas identidades. **Recomendações** Para as versões 1.7.0 a 1.7.4 do HashiCorp Vault e do Vault Enterprise, atualize para a versão 1.7.5 para resolver o problema. Para as versões 1.8.0 a 1.8.3 do HashiCorp Vault e do Vault Enterprise, atualize para a versão 1.8.4 para resolver o problema.