PT-2021-23415 · Hashicorp · Vault Enterprise+1

Mdgreenfield

·

Publicado

2021-10-08

·

Atualizado

2024-08-21

·

CVE-2021-41802

CVSS v2.0

5.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
HashiCorp Vault e Vault Enterprise, versões 1.7.0 a 1.7.4
HashiCorp Vault e Vault Enterprise, versões 1.8.0 a 1.8.3
Descrição
A vulnerabilidade permite que um usuário com permissão de gravação em um ID de alias de entidade que compartilha um acessador de montagem com outro usuário obtenha as políticas desse outro usuário ao mesclar suas identidades.
Recomendações
Para as versões 1.7.0 a 1.7.4 do HashiCorp Vault e do Vault Enterprise, atualize para a versão 1.7.5 para resolver o problema.
Para as versões 1.8.0 a 1.8.3 do HashiCorp Vault e do Vault Enterprise, atualize para a versão 1.8.4 para resolver o problema.

Correção

Improper Privilege Management

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-269CWE-732

Identificadores relacionados

BIT-VAULT-2021-41802
CVE-2021-41802
GHSA-QV95-G3GM-X542
GO-2022-0618

Produtos afetados

Hashicorp Vault
Vault Enterprise