PT-2025-31679 · Hashicorp+2 · Vault Enterprise+3

Yarden Porat

·

Publicado

2025-08-01

·

Atualizado

2025-10-01

·

CVE-2025-6011

CVSS v3.1

3.7

Baixa

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do Vault anteriores à 1.20.1 Versões do Vault Enterprise anteriores à 1.20.1 Versão do Vault Enterprise 1.19.7 Versão do Vault Enterprise 1.18.12 Versão do Vault Enterprise 1.16.23
Descrição Um canal lateral de temporização no método de autenticação userpass permitiu que um atacante diferenciasse entre usuários existentes e não existentes, potencialmente permitindo a enumeração de nomes de usuário válidos.
Recomendações Atualize o Vault para a versão 1.20.1 ou posterior. Atualize o Vault Enterprise para a versão 1.20.1 ou posterior. Atualize o Vault Enterprise para a versão 1.19.7 ou posterior. Atualize o Vault Enterprise para a versão 1.18.12 ou posterior. Atualize o Vault Enterprise para a versão 1.16.23 ou posterior.

Correção

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203CWE-208

Identificadores relacionados

ALT-PU-2025-12480
ALT-PU-2025-12489
BDU:2025-11264
BIT-VAULT-2025-6011
CVE-2025-6011
GHSA-HH28-H22F-8357
GHSA-MWGR-84FV-3JH9
GO-2025-3839
GO-2025-3854
OPENSUSE-SU-2025:15434-1
OPENSUSE-SU-2025:15460-1
SUSE-SU-2025:02912-1

Produtos afetados

Alt Linux
Red Os
Vault
Vault Enterprise