PT-2026-33398 · Hashicorp · Vault

Oleh Konko

Publicado

2026-04-16

Atualizado

2026-04-27

CVE-2026-4525

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Name of the Vulnerable Software and Affected Versions HashiCorp Vault versões anteriores a 2.0.0 HashiCorp Vault versões anteriores a 1.21.5 HashiCorp Vault versões anteriores a 1.20.10 HashiCorp Vault versões anteriores a 1.19.16

Description Quando um ponto de montagem de autenticação do Vault é configurado para transmitir o cabeçalho 'Authorization' e esse mesmo cabeçalho é usado para autenticação no Vault, o sistema encaminha o token do Vault para o backend do plugin de autenticação, resultando na exposição do token.

Recommendations Atualizar para a versão 2.0.0 Atualizar para a versão 1.21.5 Atualizar para a versão 1.20.10 Atualizar para a versão 1.19.16

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-201

Identificadores relacionados

BDU:2026-05665

BIT-VAULT-2026-4525

CVE-2026-4525

GHSA-72GW-FMMR-C4R4

Produtos afetados

Vault

PT-2026-33398 · Hashicorp · Vault

CVE-2026-4525

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9