Plattform
go
Komponente
hashicorp/vault
Behoben in
2.0.0
2.0.0
1.21.5
CVE-2026-5052 is a security vulnerability affecting HashiCorp Vault's PKI engine. The issue arises from the ACME validation process failing to properly reject local targets when issuing http-01 and tls-alpn-01 challenges, potentially allowing requests to be sent to unintended local network targets. This could result in unintended information disclosure. The vulnerability impacts Vault versions 1.15.0 through 2.0.0, and a fix is available in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
CVE-2026-5052 im PKI-Engine von Vault erlaubt es ACME-Validierungen, lokale Ziele bei der Ausstellung von http-01- und tls-alpn-01-Herausforderungen nicht abzulehnen. Dies bedeutet, dass Validierungsanfragen an lokale IP-Adressen innerhalb des Netzwerks gesendet werden könnten, auch wenn es sich nicht um die beabsichtigten Webserver handelt. Ein Angreifer mit Netzwerzzugriff könnte dies ausnutzen, um potenziell sensible Informationen zu erhalten, wie z. B. Daten, die auf internen Diensten liegen, die nicht von außen zugänglich sein sollten. Die Schwere dieser Schwachstelle wird als moderat (CVSS 5.3) eingestuft, aufgrund des potenziellen Informationslecks, obwohl die Ausnutzung Netzwerzzugriff erfordert.
Ein Angreifer, der Zugriff auf das Netzwerk hat, in dem Vault ausgeführt wird, könnte diese Schwachstelle ausnutzen. Der Angreifer könnte einen gefälschten Webserver im internen Netzwerk einrichten und dann Vault verwenden, um Zertifikate auszustellen, die sich gegen diesen gefälschten Webserver validieren lassen. Dies könnte es dem Angreifer ermöglichen, HTTPS-Verkehr abzufangen, der für legitime Dienste bestimmt ist, oder auf sensible Informationen zuzugreifen, die auf dem gefälschten Webserver liegen. Die Ausnutzung ist wahrscheinlicher in Umgebungen, in denen Vault einem unsicheren internen Netzwerk ausgesetzt ist.
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Um das Risiko im Zusammenhang mit CVE-2026-5052 zu mindern, wird empfohlen, Vault auf eine gepatchte Version zu aktualisieren. Betroffene Versionen sind alle vor Vault Community Edition 2.0.0 und Vault Enterprise 2.0.0 sowie 1.21.5, 1.20.10 und 1.19.16. Überprüfen Sie außerdem die Konfiguration Ihres PKI-Engines, um sicherzustellen, dass ACME-Validierungen nur externe und legitime Webserver ansprechen. Die Implementierung einer Netzsegmentierung und strenger Zugriffskontrollen kann dazu beitragen, die potenziellen Auswirkungen einer erfolgreichen Ausnutzung zu begrenzen.
Actualice Vault a la versión 2.0.0 o a una de las versiones parcheadas (1.21.5, 1.20.10, 1.19.16) para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF) en la validación de desafíos ACME. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración necesario después de la actualización. Desactive la validación de ACME si no es necesaria.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Versionen vor Vault Community Edition 2.0.0 und Vault Enterprise 2.0.0 sowie 1.21.5, 1.20.10 und 1.19.16 sind betroffen.
Überprüfen Sie die Vault-Version, die Sie verwenden. Wenn es sich um eine der aufgeführten betroffenen Versionen handelt, sollten Sie es aktualisieren.
Wenn Sie es nicht sofort aktualisieren können, sollten Sie den Netzwerkzugriff auf Vault einschränken, um zu verhindern, dass externe Angreifer die Schwachstelle ausnutzen.
Offengelegte Informationen könnten sensible Daten umfassen, die auf internen Diensten liegen, wie z. B. Passwörter, API-Schlüssel oder persönliche Informationen.
Überprüfen Sie die Konfiguration Ihres PKI-Engines, um sicherzustellen, dass ACME-Validierungen nur externe und legitime Webserver ansprechen. Implementieren Sie strenge Zugriffskontrollen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.