Plateforme
go
Composant
hashicorp/vault
Corrigé dans
2.0.0
2.0.0
1.21.5
La vulnérabilité CVE-2026-5052 concerne le moteur PKI de Vault, où la validation ACME ne rejette pas les cibles locales lors de l'émission de défis http-01 et tls-alpn-01. Cette faille peut entraîner l'envoi de requêtes à des cibles du réseau local, ce qui pourrait conduire à une divulgation d'informations sensibles. Elle affecte les versions de Vault comprises entre 1.15.0 et 2.0.0. Une correction a été déployée dans Vault Community Edition 2.0.0 et Vault Enterprise 2.0.0, 1.21.5, 1.20.10, et 1.19.16.
La vulnérabilité CVE-2026-5052 dans le moteur PKI de Vault permet aux validations ACME de ne pas rejeter les cibles locales lors de l'émission de défis http-01 et tls-alpn-01. Cela signifie que les requêtes de validation peuvent être envoyées à des adresses IP locales au sein du réseau, même si ce ne sont pas les serveurs web attendus. Un attaquant ayant accès au réseau pourrait exploiter cela pour obtenir des informations sensibles, telles que des données exposées sur des services internes qui ne devraient pas être accessibles de l'extérieur. La gravité de cette vulnérabilité est considérée comme modérée (CVSS 5.3) en raison du potentiel de divulgation d'informations, bien que l'exploitation nécessite un accès au réseau interne.
Un attaquant ayant accès au réseau où Vault est en cours d'exécution pourrait exploiter cette vulnérabilité. L'attaquant pourrait configurer un serveur web rogue sur le réseau interne, puis utiliser Vault pour émettre des certificats qui valident par rapport à ce serveur web rogue. Cela pourrait permettre à l'attaquant d'intercepter le trafic HTTPS destiné à des services légitimes ou d'accéder à des informations sensibles exposées sur le serveur web rogue. L'exploitation est plus probable dans les environnements où Vault est exposé à un réseau interne non sécurisé.
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Pour atténuer le risque associé à CVE-2026-5052, il est recommandé de mettre à niveau Vault vers une version corrigée. Les versions affectées sont celles antérieures à Vault Community Edition 2.0.0 et Vault Enterprise 2.0.0, ainsi que 1.21.5, 1.20.10 et 1.19.16. De plus, examinez la configuration de votre moteur PKI pour vous assurer que les validations ACME ne ciblent que les serveurs web externes et légitimes. La mise en œuvre d'une segmentation réseau et de contrôles d'accès stricts peut aider à limiter l'impact potentiel d'une exploitation réussie.
Actualice Vault a la versión 2.0.0 o a una de las versiones parcheadas (1.21.5, 1.20.10, 1.19.16) para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF) en la validación de desafíos ACME. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración necesario después de la actualización. Desactive la validación de ACME si no es necesaria.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions antérieures à Vault Community Edition 2.0.0 et Vault Enterprise 2.0.0, ainsi que 1.21.5, 1.20.10 et 1.19.16 sont vulnérables.
Vérifiez la version de Vault que vous utilisez. Si c'est l'une des versions vulnérables listées, vous devez la mettre à niveau.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès réseau à Vault pour empêcher les attaquants externes d'exploiter la vulnérabilité.
Les informations divulguées pourraient inclure des données sensibles exposées sur des services internes, telles que des mots de passe, des clés API ou des informations personnelles.
Examinez la configuration de votre moteur PKI pour vous assurer que les validations ACME ne ciblent que les serveurs web externes et légitimes. Mettez en œuvre des contrôles d'accès stricts.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.