PT-2021-23554 · Hashicorp+1 · Vault Enterprise+2
Mdgreenfield
·
Publicado
2021-10-11
·
Atualizado
2024-08-21
·
CVE-2021-42135
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
HashiCorp Vault e Vault Enterprise, versões 1.8.x a 1.8.4
Descrição
O problema está relacionado a uma interação inesperada entre políticas relacionadas a glob e o mecanismo de segredos do Google Cloud. Isso pode resultar em usuários com mais privilégios do que o pretendido. Por exemplo, um usuário com permissão de leitura para o caminho
/gcp/roleset/* pode ser capaz de emitir credenciais de conta de serviço do Google Cloud.Recomendações
Para as versões 1.8.x a 1.8.4 do HashiCorp Vault e do Vault Enterprise, considere restringir o acesso ao mecanismo de segredos do Google Cloud até que uma correção esteja disponível. Como solução alternativa temporária, revise e ajuste as políticas relacionadas a glob para minimizar o risco de atribuições indesejadas de privilégios.
Correção
Incorrect Authorization
Incorrect Privilege Assignment
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Google Cloud
Hashicorp Vault
Vault Enterprise