PT-2020-2037 · Hashicorp · Vault Enterprise+1
Publicado
2020-03-19
·
Atualizado
2024-06-28
·
CVE-2020-10661
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
HashiCorp Vault e Vault Enterprise, versões 0.11.0 a 1.3.3
Descrição
O problema está relacionado a um gerenciamento inadequado de privilégios, o que pode ser explorado por um invasor remoto para elevar seus privilégios. Em determinadas circunstâncias, políticas de caminho aninhado existentes podem conceder acesso a Namespaces criados posteriormente.
Recomendações
Para as versões 0.11.0 a 1.3.3 do HashiCorp Vault e do Vault Enterprise, atualize para a versão 1.3.4 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a Namespaces criados posteriormente para minimizar o risco de exploração.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hashicorp Vault
Vault Enterprise