मुफ्त स्कैन करें
HIGHCVE-2026-5807CVSS 7.5

हैशीकॉर्प वॉल्ट बिना प्रमाणीकरण वाले रूट टोकन पीढ़ी/रीकी ऑपरेशनों के माध्यम से सेवा से वंचित (Denial-of-Service) के प्रति संवेदनशील है

प्लेटफ़ॉर्म

go

घटक

hashicorp/vault

में ठीक किया गया

2.0.0

1.21.5

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

HashiCorp Vault में एक अस्वीकृत सेवा (DoS) भेद्यता पाई गई है, जहाँ एक अनधिकृत हमलावर बार-बार रूट टोकन पीढ़ी या रीकी संचालन शुरू या रद्द कर सकता है। यह एकल इन-प्रोग्रेस ऑपरेशन स्लॉट को भर देता है, जिससे वैध ऑपरेटरों के लिए इन वर्कफ़्लो को पूरा करना असंभव हो जाता है। यह भेद्यता, CVE-2026-5807, Vault Community Edition 2.0.0 और Vault Enterprise 2.0.0 में ठीक की गई है।

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

यह भेद्यता HashiCorp Vault के प्रबंधन में गंभीर व्यवधान पैदा कर सकती है। एक हमलावर लगातार रूट टोकन संचालन को बाधित करके, वैध उपयोगकर्ताओं को Vault तक पहुंचने और संवेदनशील डेटा को प्रबंधित करने से रोक सकता है। इससे डेटा हानि, सिस्टम डाउनटाइम और संभावित रूप से सुरक्षा उल्लंघनों का खतरा बढ़ सकता है। चूंकि रूट टोकन पीढ़ी और रीकी महत्वपूर्ण प्रशासनिक कार्य हैं, इसलिए इस भेद्यता का फायदा उठाकर हमलावर Vault के नियंत्रण को प्रभावी ढंग से छीन सकता है। यह विशेष रूप से उन संगठनों के लिए चिंताजनक है जो Vault का उपयोग संवेदनशील डेटा को सुरक्षित रखने और एक्सेस को नियंत्रित करने के लिए करते हैं।

शोषण संदर्भ

CVE-2026-5807 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालांकि, भेद्यता की प्रकृति और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। इस CVE को CISA KEV कैटलॉग में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन सुरक्षा शोधकर्ताओं द्वारा सक्रिय रूप से इसकी जांच की जा रही है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.02% (5% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकhashicorp/vault
विक्रेताHashiCorp
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 1.99.92.0.0
1.21.41.21.5

कमजोरी वर्गीकरण (CWE)

CWE-770

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-5807 को कम करने के लिए, HashiCorp Vault को संस्करण 2.0.0 या उच्चतर में तुरंत अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो रूट टोकन संचालन की दर को सीमित करने के लिए Vault कॉन्फ़िगरेशन को समायोजित करने पर विचार करें। इसके अतिरिक्त, अनधिकृत स्रोतों से आने वाले अनुरोधों को ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। Vault के लॉग की नियमित रूप से निगरानी करें ताकि असामान्य गतिविधि का पता लगाया जा सके, जैसे कि रूट टोकन संचालन की अत्यधिक संख्या।

कैसे ठीक करें

इस भेद्यता को कम करने के लिए वॉल्ट कम्युनिटी एडिशन 2.0.0 या वॉल्ट एंटरप्राइज 2.0.0 में अपडेट करें। अपडेट रूट टोकन पीढ़ी और रीकी ऑपरेशनों तक पहुंच को प्रमाणित उपयोगकर्ताओं तक सीमित करके त्रुटि को ठीक करता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5807 — DoS HashiCorp Vault में क्या है?

CVE-2026-5807 HashiCorp Vault में एक अस्वीकृत सेवा (DoS) भेद्यता है, जहाँ हमलावर रूट टोकन संचालन को बाधित कर सकता है।

क्या मैं CVE-2026-5807 से HashiCorp Vault में प्रभावित हूँ?

यदि आप HashiCorp Vault के संस्करण 0.0.0–2.0.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं HashiCorp Vault में CVE-2026-5807 को कैसे ठीक करूँ?

CVE-2026-5807 को ठीक करने के लिए, HashiCorp Vault को संस्करण 2.0.0 या उच्चतर में अपग्रेड करें।

क्या CVE-2026-5807 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-5807 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है।

मैं HashiCorp Vault के लिए CVE-2026-5807 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?

आप HashiCorp Vault सलाहकार यहाँ पा सकते हैं: [https://www.hashicorp.com/security/announcements/cve-2026-5807](https://www.hashicorp.com/security/announcements/cve-2026-5807)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें