Scanner gratuitement
HIGHCVE-2026-3605CVSS 8.1

HashiCorp Vault présente un contournement de la politique de suppression des métadonnées et des secrets KVv2 qui conduit à une déni de service

Plateforme

go

Composant

hashicorp/vault

Corrigé dans

2.0.0

2.0.0

1.21.5

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder
Traduction vers votre langue…

CVE-2026-3605 is a denial-of-service vulnerability affecting HashiCorp Vault versions 0.10.0 through 2.0.0. An authenticated user with a policy granting access to a kvv2 path using a wildcard can inadvertently delete secrets they are not authorized to modify. This vulnerability does not allow for secret data exfiltration or cross-namespace secret deletion, but can disrupt service availability.

Go

Détecte cette CVE dans ton projet

Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.

Téléverser go.mod

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-3605 dans Vault permet à un utilisateur authentifié disposant d'un accès à un chemin kvv2 via une politique contenant un caractère générique (glob) de supprimer des secrets pour lesquels il n'est pas autorisé à lire ou à écrire, ce qui entraîne une déni de service (DoS). Il est important de noter que cette vulnérabilité n'a pas permis à un utilisateur malveillant de supprimer des secrets entre les espaces de noms, ni de lire des données de secrets. L'impact principal est la possibilité d'une perte accidentelle ou malveillante de secrets au sein du même espace de noms.

Contexte d'Exploitation

Un attaquant doit être un utilisateur authentifié dans Vault et avoir accès à un chemin kvv2. La clé de l'exploitation est l'existence d'une politique qui utilise un caractère générique (glob) dans le chemin kvv2. Si un utilisateur authentifié peut manipuler la politique ou dispose d'une politique existante avec un caractère générique qui lui permet d'accéder au chemin kvv2, il peut potentiellement supprimer des secrets pour lesquels il n'a pas de permissions d'écriture. L'exploitation ne nécessite pas de privilèges élevés sur le système d'exploitation sous-jacent.

Qui Est à Risquetraduction en cours…

Organizations heavily reliant on HashiCorp Vault for secrets management, particularly those utilizing kvv2 paths with wildcard patterns in their policies, are at increased risk. Shared hosting environments where multiple users share Vault access and policies are also particularly vulnerable.

Étapes de Détectiontraduction en cours…

• linux / server:

journalctl -u vault -g 'secret deletion'

• generic web:

curl -I https://vault.example.com/v1/kv/v2/path/with/wildcard | grep -i '403 forbidden'

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.01% (percentile 2%)

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H8.1HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composanthashicorp/vault
FournisseurHashiCorp
Plage affectéeCorrigé dans
0.10.0 – 2.0.02.0.0
0.10.0 – 2.0.02.0.0
0.10.0 – 1.21.41.21.5

Classification de Faiblesse (CWE)

CWE-288

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour

Mitigation et Contournements

Pour atténuer cette vulnérabilité, mettez à niveau vers Vault Community Edition 2.0.0 ou l'une des versions suivantes : Vault Enterprise 2.0.0, 1.21.5, 1.20.10 ou 1.19.16. De plus, examinez attentivement vos politiques d'accès Vault, en particulier celles qui utilisent des caractères génériques (globs) dans les chemins kvv2. Assurez-vous que les politiques sont configurées pour accorder l'accès minimum nécessaire à chaque utilisateur ou rôle. Envisagez d'utiliser des politiques plus restrictives et plus spécifiques au lieu de caractères génériques larges afin de réduire la surface d'attaque.

Comment corrigertraduction en cours…

Actualice a Vault Community Edition 2.0.0 o a una de las siguientes versiones: 1.21.5, 1.20.10 o 1.19.16.  Esta actualización corrige una vulnerabilidad que permite a usuarios autenticados con acceso a una ruta kvv2 a través de una política con un comodín eliminar secretos para los que no tienen autorización de lectura o escritura, lo que puede provocar una denegación de servicio.  Consulte la documentación oficial de HashiCorp para obtener instrucciones detalladas de actualización.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-3605 dans HashiCorp Vault ?

Un caractère générique est un caractère spécial (comme ) utilisé dans les politiques Vault pour représenter plusieurs chemins ou noms de secrets. Par exemple, kvv2/data/ permettrait l'accès à tous les secrets au sein du chemin kvv2/data. L'utilisation excessive de caractères génériques peut augmenter le risque de cette vulnérabilité.

Suis-je affecté(e) par CVE-2026-3605 dans HashiCorp Vault ?

Vous pouvez utiliser l'API Vault pour répertorier les politiques et rechercher celles qui contiennent le caractère générique (*). Consultez la documentation Vault pour plus de détails sur l'utilisation de l'API des politiques.

Comment corriger CVE-2026-3605 dans HashiCorp Vault ?

Pendant ce temps, examinez et restreignez les politiques qui utilisent des caractères génériques dans les chemins kvv2. Assurez-vous que les politiques n'accordent que l'accès minimum nécessaire. Surveillez les journaux Vault à la recherche d'activités suspectes.

CVE-2026-3605 est-il activement exploité ?

Non, cette vulnérabilité n'affecte que les secrets stockés dans les chemins kvv2. Les autres types de secrets, tels que les secrets de base de données ou les certificats, ne sont pas directement affectés.

Où trouver l'avis officiel de HashiCorp Vault pour CVE-2026-3605 ?

Plusieurs outils et scripts tiers peuvent vous aider à auditer vos politiques Vault et à identifier les problèmes de sécurité potentiels, y compris l'utilisation excessive de caractères génériques. Recherchez des outils 'Vault Policy Analyzer' ou 'Vault Policy Auditor'.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE