PT-2024-2960 · Hashicorp+1 · Vault Enterprise+2

Publicado

2024-04-04

·

Atualizado

2025-08-08

·

CVE-2024-2660

CVSS v3.1

6.8

Média

VetorAV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Vault 1.14.0 a 1.15.6
Versões do Vault Enterprise 1.14.0 a 1.14.10 e 1.15.0 a 1.15.6
Descrição
O problema está relacionado à validação incorreta das respostas OCSP quando uma ou mais fontes OCSP estão configuradas no método de autenticação de certificados TLS. Isso poderia permitir que um invasor contornasse o processo de autenticação.
Recomendações
Para as versões do Vault 1.14.0 a 1.15.6, atualize para o Vault 1.16.0 ou posterior.
Para as versões do Vault Enterprise 1.14.0 a 1.14.10, atualize para o Vault Enterprise 1.14.11 ou posterior.
Para as versões do Vault Enterprise 1.15.0 a 1.15.6, atualize para o Vault Enterprise 1.15.7 ou posterior.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-703CWE-636

Identificadores relacionados

BDU:2024-03127
BIT-VAULT-2024-2660
CVE-2024-2660
GHSA-J2RP-GMQV-FRHV
GO-2024-2690
OPENSUSE-SU-2024:14104-1

Produtos afetados

Red Os
Vault
Vault Enterprise