Plattform
go
Komponente
hashicorp/vault
Behoben in
2.0.0
2.0.0
1.21.5
CVE-2026-3605 is a denial-of-service vulnerability affecting HashiCorp Vault versions 0.10.0 through 2.0.0. An authenticated user with a policy granting access to a kvv2 path using a wildcard can inadvertently delete secrets they are not authorized to modify. This vulnerability does not allow for secret data exfiltration or cross-namespace secret deletion, but can disrupt service availability.
CVE-2026-3605 in Vault ermöglicht es einem authentifizierten Benutzer mit Zugriff auf einen kvv2-Pfad über eine Richtlinie, die ein Platzhalterzeichen (Glob) enthält, geheime Daten zu löschen, für die er nicht berechtigt ist, sie zu lesen oder zu schreiben, was zu einer Denial-of-Service (DoS)-Situation führt. Es ist wichtig zu beachten, dass diese Schwachstelle es einem bösartigen Benutzer nicht ermöglichte, Geheimnisse über Namespaces hinweg zu löschen oder geheime Daten zu lesen. Der primäre Einfluss ist die Möglichkeit eines versehentlichen oder böswilligen Verlusts von Geheimnissen innerhalb desselben Namespaces.
Ein Angreifer muss ein authentifizierter Benutzer in Vault sein und Zugriff auf einen kvv2-Pfad haben. Der Schlüssel zur Ausnutzung ist das Vorhandensein einer Richtlinie, die ein Platzhalterzeichen (Glob) im kvv2-Pfad verwendet. Wenn ein authentifizierter Benutzer die Richtlinie manipulieren kann oder eine bestehende Richtlinie mit einem Platzhalterzeichen hat, das ihm Zugriff auf den kvv2-Pfad ermöglicht, kann er möglicherweise Geheimnisse löschen, für die er keine Schreibberechtigungen hat. Die Ausnutzung erfordert keine erhöhten Privilegien auf dem zugrunde liegenden Betriebssystem.
Organizations heavily reliant on HashiCorp Vault for secrets management, particularly those utilizing kvv2 paths with wildcard patterns in their policies, are at increased risk. Shared hosting environments where multiple users share Vault access and policies are also particularly vulnerable.
• linux / server:
journalctl -u vault -g 'secret deletion'• generic web:
curl -I https://vault.example.com/v1/kv/v2/path/with/wildcard | grep -i '403 forbidden'disclosure
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Um diese Schwachstelle zu beheben, aktualisieren Sie auf Vault Community Edition 2.0.0 oder eine der folgenden Versionen: Vault Enterprise 2.0.0, 1.21.5, 1.20.10 oder 1.19.16. Überprüfen Sie außerdem sorgfältig Ihre Vault-Zugriffsberechtigungen, insbesondere solche, die Platzhalterzeichen (Globs) in kvv2-Pfaden verwenden. Stellen Sie sicher, dass die Richtlinien so konfiguriert sind, dass jeder Benutzer oder jedem Rollen der minimal erforderliche Zugriff gewährt wird. Erwägen Sie, restriktivere und spezifischere Richtlinien anstelle von breiten Platzhaltern zu verwenden, um die Angriffsfläche zu verringern.
Actualice a Vault Community Edition 2.0.0 o a una de las siguientes versiones: 1.21.5, 1.20.10 o 1.19.16. Esta actualización corrige una vulnerabilidad que permite a usuarios autenticados con acceso a una ruta kvv2 a través de una política con un comodín eliminar secretos para los que no tienen autorización de lectura o escritura, lo que puede provocar una denegación de servicio. Consulte la documentación oficial de HashiCorp para obtener instrucciones detalladas de actualización.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Platzhalterzeichen ist ein spezielles Zeichen (z. B. ) das in Vault-Richtlinien verwendet wird, um mehrere Pfade oder geheime Namen darzustellen. Zum Beispiel würde kvv2/data/ den Zugriff auf alle Geheimnisse innerhalb des Pfads kvv2/data ermöglichen. Eine übermäßige Verwendung von Platzhalterzeichen kann das Risiko dieser Schwachstelle erhöhen.
Sie können die Vault-API verwenden, um die Richtlinien aufzulisten und nach solchen zu suchen, die das Platzhalterzeichen (*) enthalten. Weitere Informationen zur Verwendung der Richtlinien-API finden Sie in der Vault-Dokumentation.
Überprüfen und beschränken Sie in der Zwischenzeit die Richtlinien, die Platzhalterzeichen in kvv2-Pfaden verwenden. Stellen Sie sicher, dass die Richtlinien nur den minimal erforderlichen Zugriff gewähren. Überwachen Sie die Vault-Protokolle auf verdächtige Aktivitäten.
Nein, diese Schwachstelle betrifft nur Geheimnisse, die in kvv2-Pfaden gespeichert sind. Andere Arten von Geheimnissen, wie z. B. Datenbankgeheimnisse oder Zertifikate, sind nicht direkt betroffen.
Es gibt verschiedene Tools und Skripte von Drittanbietern, die Ihnen helfen können, Ihre Vault-Richtlinien zu überprüfen und potenzielle Sicherheitsprobleme zu identifizieren, einschließlich der übermäßigen Verwendung von Platzhalterzeichen. Suchen Sie nach Tools wie 'Vault Policy Analyzer' oder 'Vault Policy Auditor'.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.