Plateforme
go
Composant
hashicorp/vault
Corrigé dans
2.0.0
1.21.5
La vulnérabilité CVE-2026-5807 affecte HashiCorp Vault, un outil de gestion des secrets. Elle permet à un attaquant non authentifié de provoquer un déni de service (DoS) en saturant le slot d'opération unique, empêchant ainsi la génération ou la re-création des tokens root. Cette vulnérabilité touche les versions de Vault comprises entre 0.0.0 et 2.0.0. Une correction est disponible à partir de la version 2.0.0.
Cette vulnérabilité DoS permet à un attaquant de paralyser les opérations critiques de Vault, notamment la génération et la re-création des tokens root. En initiant ou en annulant de manière répétée ces opérations, l'attaquant peut monopoliser le slot d'opération unique, rendant Vault inaccessible aux administrateurs légitimes. Cela peut entraîner une perte de disponibilité du service, une incapacité à accéder aux secrets stockés et, potentiellement, une interruption des services qui dépendent de Vault. Bien qu'il n'y ait pas de rapport d'exploitation publique à ce jour, la simplicité de l'attaque et son impact potentiel en font une menace sérieuse.
La vulnérabilité CVE-2026-5807 a été divulguée publiquement le 17 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'attaque et de son impact potentiel. Il n'est pas listé sur le KEV de CISA au moment de la rédaction.
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Vault vers la version 2.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de limiter l'accès aux opérations de génération et re-création de tokens root aux seuls administrateurs autorisés. Envisagez également la mise en place de mécanismes de limitation de débit (rate limiting) sur les API concernées pour atténuer l'impact d'attaques potentielles. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des requêtes API suspectes est conseillée.
Mettez à jour vers Vault Community Edition 2.0.0 ou Vault Enterprise 2.0.0 pour atténuer cette vulnérabilité. La mise à jour corrige le problème en limitant l'accès aux opérations de génération et de re-création de tokens root aux utilisateurs authentifiés.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
It's a denial-of-service vulnerability in HashiCorp Vault allowing an attacker to disrupt root token management, preventing legitimate users from accessing secrets.
If you are running HashiCorp Vault versions 0.0.0 through 2.0.0, you are potentially affected by this vulnerability. Check your Vault version immediately.
Upgrade to HashiCorp Vault version 2.0.0 or later to resolve the vulnerability. If upgrading is not possible, implement rate limiting as a temporary workaround.
As of the publication date, there are no publicly known exploits or active campaigns targeting CVE-2026-5807.
Refer to the official HashiCorp security advisory and the CVE details on the NIST National Vulnerability Database (NVD) for comprehensive information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.