PT-2024-2153 · Hashicorp+2 · Hashicorp Vault+2

D0Nut

·

Publicado

2024-03-04

·

Atualizado

2025-11-13

·

CVE-2024-2048

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do HashiCorp Vault anteriores à 1.14.10
Versões do HashiCorp Vault anteriores à 1.15.5
Descrição
O problema está relacionado a erros no procedimento de confirmação da autenticidade dos certificados. Um invasor pode ser capaz de criar um certificado malicioso para contornar a autenticação quando o método de autenticação por certificado TLS estiver configurado com um certificado não CA como certificado confiável.
Recomendações
Para versões do HashiCorp Vault anteriores à 1.14.10, atualize para a versão 1.14.10 ou posterior para resolver o problema.
Para versões do HashiCorp Vault anteriores à 1.15.5, atualize para a versão 1.15.5 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do método de autenticação por certificado TLS até que um patch esteja disponível.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2024-11859
ALT-PU-2024-12202
ALT-PU-2024-12204
ALT-PU-2024-12410
BDU:2024-02063
BIT-VAULT-2024-2048
CVE-2024-2048
GHSA-R3W7-MFPM-C2VW
GO-2024-2617

Produtos afetados

Alt Linux
Hashicorp Vault
Red Os