PT-2026-33397 · Hashicorp+1 · Vault Enterprise+2
Publicado
2026-04-16
·
Atualizado
2026-05-29
·
CVE-2026-3605
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:N/I:C/A:C |
Name of the Vulnerable Software and Affected Versions
HashiCorp Vault Community Edition versões anteriores a 2.0.0
HashiCorp Vault Enterprise versões anteriores a 1.19.16
HashiCorp Vault Enterprise versões anteriores a 1.20.10
HashiCorp Vault Enterprise versões anteriores a 2.0.0
Description
Um usuário autenticado com acesso a um caminho kvv2 por meio de uma política contendo um glob pode ser capaz de excluir segredos que não tinha autorização para ler ou gravar, resultando em negação de serviço. Este problema não permite a exclusão de segredos entre namespaces nem a leitura de dados de segredos.
Recommendations
Atualize o HashiCorp Vault Community Edition para a versão 2.0.0.
Atualize o HashiCorp Vault Enterprise para a versão 1.19.16, 1.20.10 ou 2.0.0.
Correção
DoS
LPE
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Red Os
Vault Community Edition
Vault Enterprise