प्लेटफ़ॉर्म
go
घटक
hashicorp/vault
में ठीक किया गया
2.0.0
2.0.0
1.21.5
CVE-2026-3605 is a denial-of-service vulnerability affecting HashiCorp Vault versions 0.10.0 through 2.0.0. An authenticated user with a policy granting access to a kvv2 path using a wildcard can inadvertently delete secrets they are not authorized to modify. This vulnerability does not allow for secret data exfiltration or cross-namespace secret deletion, but can disrupt service availability.
Vault में CVE-2026-3605 एक प्रमाणित उपयोगकर्ता को kvv2 पथ तक पहुँचने की अनुमति देता है, जिसमें एक ग्लोब (glob) शामिल है, जो उन्हें पढ़ने या लिखने के लिए अधिकृत नहीं है, जिससे सेवा से इनकार (DoS) होता है। ध्यान दें कि इस भेद्यता ने दुर्भावनापूर्ण उपयोगकर्ता को नेमस्पेस में गुप्तों को हटाने या गुप्त डेटा को पढ़ने की अनुमति नहीं दी। मुख्य प्रभाव एक ही नेमस्पेस के भीतर गुप्तों के आकस्मिक या दुर्भावनापूर्ण नुकसान की संभावना है।
एक हमलावर को Vault में एक प्रमाणित उपयोगकर्ता होना चाहिए और kvv2 पथ तक पहुँच होनी चाहिए। शोषण की कुंजी kvv2 पथ में ग्लोब (glob) का उपयोग करने वाली नीति का अस्तित्व है। यदि एक प्रमाणित उपयोगकर्ता नीति में हेरफेर कर सकता है या उसके पास एक मौजूदा नीति है जिसमें एक ग्लोब है जो उसे kvv2 पथ तक पहुँच प्रदान करता है, तो वह उन गुप्तों को हटा सकता है जिनके पास लिखने की अनुमति नहीं है। शोषण के लिए अंतर्निहित ऑपरेटिंग सिस्टम में विशेषाधिकारों को बढ़ाने की आवश्यकता नहीं है।
Organizations heavily reliant on HashiCorp Vault for secrets management, particularly those utilizing kvv2 paths with wildcard patterns in their policies, are at increased risk. Shared hosting environments where multiple users share Vault access and policies are also particularly vulnerable.
• linux / server:
journalctl -u vault -g 'secret deletion'• generic web:
curl -I https://vault.example.com/v1/kv/v2/path/with/wildcard | grep -i '403 forbidden'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Vault Community Edition 2.0.0 या Vault Enterprise 2.0.0, 1.21.5, 1.20.10, या 1.19.16 जैसे संस्करण में अपग्रेड करें। इसके अतिरिक्त, अपने Vault एक्सेस नीतियों की सावधानीपूर्वक समीक्षा करें, खासकर उन नीतियों की जो kvv2 पथ में ग्लोब (glob) का उपयोग करती हैं। सुनिश्चित करें कि नीतियाँ प्रत्येक उपयोगकर्ता या भूमिका को न्यूनतम आवश्यक पहुँच प्रदान करने के लिए कॉन्फ़िगर की गई हैं। हमले की सतह को कम करने के लिए व्यापक ग्लोब के बजाय अधिक प्रतिबंधात्मक और विशिष्ट नीतियों का उपयोग करने पर विचार करें।
Actualice a Vault Community Edition 2.0.0 o a una de las siguientes versiones: 1.21.5, 1.20.10 o 1.19.16. Esta actualización corrige una vulnerabilidad que permite a usuarios autenticados con acceso a una ruta kvv2 a través de una política con un comodín eliminar secretos para los que no tienen autorización de lectura o escritura, lo que puede provocar una denegación de servicio. Consulte la documentación oficial de HashiCorp para obtener instrucciones detalladas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ग्लोब एक विशेष वर्ण है (जैसे ) जिसका उपयोग Vault नीतियों में कई पथों या गुप्त नामों का प्रतिनिधित्व करने के लिए किया जाता है। उदाहरण के लिए, kvv2/data/ kvv2/data पथ में सभी गुप्तों तक पहुँच प्रदान करेगा। ग्लोब का अत्यधिक उपयोग इस भेद्यता के जोखिम को बढ़ा सकता है।
आप Vault API का उपयोग नीतियों को सूचीबद्ध करने और ग्लोब वर्ण (*) युक्त वाली खोज करने के लिए कर सकते हैं। नीतियों API का उपयोग करने के बारे में अधिक जानकारी के लिए, Vault दस्तावेज़ देखें।
इस बीच, kvv2 पथ में ग्लोब का उपयोग करने वाली नीतियों की समीक्षा करें और उन्हें प्रतिबंधित करें। सुनिश्चित करें कि नीतियाँ केवल न्यूनतम आवश्यक पहुँच प्रदान करती हैं। संदिग्ध गतिविधि के लिए Vault लॉग की निगरानी करें।
नहीं, यह भेद्यता केवल kvv2 पथ में संग्रहीत गुप्तों को प्रभावित करती है। डेटाबेस गुप्त या प्रमाणपत्र जैसे अन्य प्रकार के गुप्तों को सीधे प्रभावित नहीं किया जाता है।
कई तृतीय-पक्ष उपकरण और स्क्रिप्ट हैं जो आपको अपनी Vault नीतियों की ऑडिट करने और संभावित सुरक्षा मुद्दों की पहचान करने में मदद कर सकते हैं, जिसमें ग्लोब का अत्यधिक उपयोग शामिल है। 'Vault Policy Analyzer' या 'Vault Policy Auditor' जैसे उपकरणों की खोज करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।