PT-2025-31663 · Hashicorp+1 · Vault Enterprise+2
Yarden Porat
·
Publicado
2025-08-01
·
Atualizado
2025-09-05
·
CVE-2025-6037
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Versões do Vault anteriores à 1.20.1
Versões do Vault Enterprise anteriores à 1.20.1
Versões do Vault Enterprise anteriores à 1.19.7
Versões do Vault Enterprise anteriores à 1.18.12
Versões do Vault Enterprise anteriores à 1.16.23
Descrição
O método de autenticação por certificado TLS no Vault e no Vault Enterprise não validou corretamente os certificados de cliente quando configurado com um certificado não-CA como certificado confiável. Isso permitiu que um atacante potencialmente forjasse um certificado malicioso para se passar por outro usuário.
Recomendações
Atualize o Vault para a versão 1.20.1 ou posterior.
Atualize o Vault Enterprise para a versão 1.20.1 ou posterior.
Atualize o Vault Enterprise para a versão 1.19.7 ou posterior.
Atualize o Vault Enterprise para a versão 1.18.12 ou posterior.
Atualize o Vault Enterprise para a versão 1.16.23 ou posterior.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Red Os
Vault
Vault Enterprise