Plateforme
go
Composant
hashicorp/vault
Corrigé dans
2.0.0
2.0.0
1.21.5
CVE-2026-3605 is a denial-of-service vulnerability affecting HashiCorp Vault versions 0.10.0 through 2.0.0. An authenticated user with a policy granting access to a kvv2 path using a wildcard can inadvertently delete secrets they are not authorized to modify. This vulnerability does not allow for secret data exfiltration or cross-namespace secret deletion, but can disrupt service availability.
La vulnérabilité CVE-2026-3605 dans Vault permet à un utilisateur authentifié disposant d'un accès à un chemin kvv2 via une politique contenant un caractère générique (glob) de supprimer des secrets pour lesquels il n'est pas autorisé à lire ou à écrire, ce qui entraîne une déni de service (DoS). Il est important de noter que cette vulnérabilité n'a pas permis à un utilisateur malveillant de supprimer des secrets entre les espaces de noms, ni de lire des données de secrets. L'impact principal est la possibilité d'une perte accidentelle ou malveillante de secrets au sein du même espace de noms.
Un attaquant doit être un utilisateur authentifié dans Vault et avoir accès à un chemin kvv2. La clé de l'exploitation est l'existence d'une politique qui utilise un caractère générique (glob) dans le chemin kvv2. Si un utilisateur authentifié peut manipuler la politique ou dispose d'une politique existante avec un caractère générique qui lui permet d'accéder au chemin kvv2, il peut potentiellement supprimer des secrets pour lesquels il n'a pas de permissions d'écriture. L'exploitation ne nécessite pas de privilèges élevés sur le système d'exploitation sous-jacent.
Organizations heavily reliant on HashiCorp Vault for secrets management, particularly those utilizing kvv2 paths with wildcard patterns in their policies, are at increased risk. Shared hosting environments where multiple users share Vault access and policies are also particularly vulnerable.
• linux / server:
journalctl -u vault -g 'secret deletion'• generic web:
curl -I https://vault.example.com/v1/kv/v2/path/with/wildcard | grep -i '403 forbidden'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Pour atténuer cette vulnérabilité, mettez à niveau vers Vault Community Edition 2.0.0 ou l'une des versions suivantes : Vault Enterprise 2.0.0, 1.21.5, 1.20.10 ou 1.19.16. De plus, examinez attentivement vos politiques d'accès Vault, en particulier celles qui utilisent des caractères génériques (globs) dans les chemins kvv2. Assurez-vous que les politiques sont configurées pour accorder l'accès minimum nécessaire à chaque utilisateur ou rôle. Envisagez d'utiliser des politiques plus restrictives et plus spécifiques au lieu de caractères génériques larges afin de réduire la surface d'attaque.
Actualice a Vault Community Edition 2.0.0 o a una de las siguientes versiones: 1.21.5, 1.20.10 o 1.19.16. Esta actualización corrige una vulnerabilidad que permite a usuarios autenticados con acceso a una ruta kvv2 a través de una política con un comodín eliminar secretos para los que no tienen autorización de lectura o escritura, lo que puede provocar una denegación de servicio. Consulte la documentación oficial de HashiCorp para obtener instrucciones detalladas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un caractère générique est un caractère spécial (comme ) utilisé dans les politiques Vault pour représenter plusieurs chemins ou noms de secrets. Par exemple, kvv2/data/ permettrait l'accès à tous les secrets au sein du chemin kvv2/data. L'utilisation excessive de caractères génériques peut augmenter le risque de cette vulnérabilité.
Vous pouvez utiliser l'API Vault pour répertorier les politiques et rechercher celles qui contiennent le caractère générique (*). Consultez la documentation Vault pour plus de détails sur l'utilisation de l'API des politiques.
Pendant ce temps, examinez et restreignez les politiques qui utilisent des caractères génériques dans les chemins kvv2. Assurez-vous que les politiques n'accordent que l'accès minimum nécessaire. Surveillez les journaux Vault à la recherche d'activités suspectes.
Non, cette vulnérabilité n'affecte que les secrets stockés dans les chemins kvv2. Les autres types de secrets, tels que les secrets de base de données ou les certificats, ne sont pas directement affectés.
Plusieurs outils et scripts tiers peuvent vous aider à auditer vos politiques Vault et à identifier les problèmes de sécurité potentiels, y compris l'utilisation excessive de caractères génériques. Recherchez des outils 'Vault Policy Analyzer' ou 'Vault Policy Auditor'.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.