PT-2021-22991 · Hashicorp · Hashicorp Terraform Enterprise
Publicado
2021-09-15
·
Atualizado
2022-07-12
·
CVE-2021-40862
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do HashiCorp Terraform Enterprise até a v202108-1
Descrição
O problema diz respeito a um endpoint de API que divulgava incorretamente uma URL confidencial a usuários autenticados. Isso poderia ser potencialmente explorado para escalonamento de privilégios ou para realizar alterações não autorizadas em uma configuração do Terraform.
Recomendações
Para as versões do HashiCorp Terraform Enterprise até a v202108-1, atualize para a versão v202109-1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API afetado para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hashicorp Terraform Enterprise