प्लेटफ़ॉर्म
go
घटक
hashicorp/vault
में ठीक किया गया
2.0.0
2.0.0
1.21.5
CVE-2026-4525 is a security vulnerability affecting HashiCorp Vault. This issue occurs when an auth mount passes through the "Authorization" header, potentially exposing Vault tokens to the backend authentication plugin. The vulnerability impacts versions 0.11.2 through 2.0.0 of Vault. A fix is available in versions 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
CVE-2026-4525 Vault को प्रभावित करता है जब कोई प्रमाणीकरण माउंट 'Authorization' हेडर को अग्रेषित करने के लिए कॉन्फ़िगर किया गया हो। इस परिदृश्य में, यदि 'Authorization' हेडर का उपयोग Vault को प्रमाणित करने के लिए किया जाता है, तो Vault अनजाने में Vault टोकन को प्रमाणीकरण प्लगइन बैकएंड में अग्रेषित करता है। यह एक हमलावर को प्रमाणीकरण प्लगइन बैकएंड को समझौता करने की अनुमति दे सकता है, जिससे Vault में संग्रहीत रहस्यों तक पहुंच प्राप्त हो सकती है या अनधिकृत क्रियाएं निष्पादित की जा सकती हैं। CVSS के अनुसार इस मुद्दे की गंभीरता को 7.5 (उच्च) के रूप में रेट किया गया है। अनपेक्षित प्रमाणीकरण प्लगइन बैकएंड पर Vault टोकन का एक्सपोजर एक महत्वपूर्ण सुरक्षा जोखिम पैदा करता है, क्योंकि यह विशेषाधिकार वृद्धि और संवेदनशील डेटा तक अनधिकृत पहुंच को सुविधाजनक बना सकता है। Vault द्वारा प्रबंधित रहस्यों की अखंडता और गोपनीयता की रक्षा के लिए इस भेद्यता को संबोधित करना महत्वपूर्ण है।
जब एक हमलावर Vault को भेजे गए 'Authorization' हेडर को नियंत्रित करने में सक्षम होता है, तो इस भेद्यता का शोषण किया जाता है। यदि एक हमलावर इस हेडर को वैध Vault टोकन को शामिल करने के लिए हेरफेर कर सकता है, तो Vault उस टोकन को प्रमाणीकरण प्लगइन बैकएंड में अग्रेषित करेगा। प्रमाणीकरण प्लगइन बैकएंड तब इस टोकन का उपयोग उन संसाधनों तक पहुंचने या उन क्रियाओं को निष्पादित करने के लिए कर सकता है जिन्हें हमलावर को निष्पादित करने की अनुमति नहीं होनी चाहिए। शोषण की संभावना Vault के कॉन्फ़िगरेशन और प्रमाणीकरण प्लगइन बैकएंड की सुरक्षा पर निर्भर करती है। एक ऐसा वातावरण जहां 'Authorization' हेडर का उपयोग प्रमाणीकरण के लिए व्यापक रूप से किया जाता है और जहां प्रमाणीकरण प्लगइन बैकएंड पर्याप्त रूप से सुरक्षित नहीं है, वह अधिक असुरक्षित है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-4525 को कम करने के लिए, Vault के उस संस्करण में अपग्रेड करने की अनुशंसा की जाती है जिसमें फिक्स शामिल है। प्रभावित संस्करण 2.0.0, 1.21.5, 1.20.10 और 1.19.16 से पहले के संस्करण हैं। अपग्रेड सबसे प्रभावी समाधान है। यदि तत्काल अपग्रेड संभव नहीं है, तो आप प्रमाणीकरण माउंट कॉन्फ़िगरेशन में 'Authorization' हेडर अग्रेषण कार्यक्षमता को अक्षम कर सकते हैं। Vault के प्रमाणीकरण माउंट कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करें ताकि यह सुनिश्चित हो सके कि 'Authorization' हेडर अनावश्यक रूप से अग्रेषित नहीं किया जा रहा है। Vault टोकन एक्सपोजर के संभावित प्रभाव को सीमित करने के लिए प्रमाणीकरण प्लगइन बैकएंड पर सख्त एक्सेस नियंत्रण लागू करें। प्रमाणीकरण और हेडर अग्रेषण से संबंधित संदिग्ध गतिविधि के लिए Vault लॉग की निगरानी करें।
Actualice Vault a la versión 2.0.0, 1.21.5, 1.20.10 o 1.19.16. Desactive la autorización de paso del encabezado 'Authorization' en las configuraciones de los auth mounts, o asegúrese de que el encabezado 'Authorization' se esté utilizando únicamente para autenticarse en Vault y no se esté pasando a los backends de auth plugin.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
2.0.0, 1.21.5, 1.20.10 और 1.19.16 से पहले के संस्करण प्रभावित हैं।
अपने द्वारा उपयोग किए जा रहे Vault संस्करण की जांच करें। यदि यह पैच किए गए संस्करणों से पहले का है, तो आप प्रभावित हैं।
यह एक HTTP हेडर है जिसका उपयोग प्रमाणीकरण जानकारी, जैसे प्रमाणीकरण टोकन को प्रसारित करने के लिए किया जाता है।
यह सिस्टम या सेवा है जिसका उपयोग Vault उपयोगकर्ता क्रेडेंशियल्स को सत्यापित करने के लिए करता है।
प्रमाणीकरण माउंट कॉन्फ़िगरेशन में 'Authorization' हेडर अग्रेषण को अक्षम करना एक अस्थायी समाधान है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।