प्लेटफ़ॉर्म
go
घटक
hashicorp/vault
में ठीक किया गया
2.0.0
2.0.0
1.21.5
CVE-2026-5052 Vault PKI इंजन में एक भेद्यता है जो ACME सत्यापन के दौरान स्थानीय लक्ष्यों को अस्वीकार करने में विफल रहती है। इस भेद्यता के कारण http-01 और tls-alpn-01 चुनौतियों के अनुरोध स्थानीय नेटवर्क लक्ष्यों पर भेजे जा सकते हैं, जिससे संभावित रूप से संवेदनशील जानकारी का प्रकटीकरण हो सकता है। यह भेद्यता Vault के संस्करण 1.15.0 से 2.0.0 तक के संस्करणों को प्रभावित करती है। Vault Community Edition 2.0.0 और Vault Enterprise 2.0.0, 1.21.5, 1.20.10, और 1.19.16 में इस समस्या का समाधान किया गया है।
Vault के PKI इंजन में CVE-2026-5052 http-01 और tls-alpn-01 चुनौतियों को जारी करते समय ACME सत्यापन को स्थानीय लक्ष्यों को अस्वीकार करने से रोकता है। इसका मतलब है कि सत्यापन अनुरोध नेटवर्क में स्थानीय IP पतों पर भेजे जा सकते हैं, भले ही वे इच्छित वेब सर्वर न हों। नेटवर्क एक्सेस वाले एक हमलावर इस कमजोरी का फायदा उठाकर संवेदनशील जानकारी प्राप्त कर सकता है, जैसे कि आंतरिक सेवाओं पर उजागर डेटा जो बाहरी रूप से एक्सेस नहीं किया जाना चाहिए। इस भेद्यता की गंभीरता को मध्यम (CVSS 5.3) माना जाता है क्योंकि जानकारी के प्रकटीकरण की संभावना है, हालांकि शोषण के लिए नेटवर्क एक्सेस की आवश्यकता होती है।
Vault चल रहे नेटवर्क तक पहुंच रखने वाला एक हमलावर इस कमजोरी का फायदा उठा सकता है। हमलावर आंतरिक नेटवर्क पर एक दुर्भावनापूर्ण वेब सर्वर स्थापित कर सकता है और फिर Vault का उपयोग उस दुर्भावनापूर्ण सर्वर के खिलाफ मान्य करने वाले प्रमाणपत्र जारी करने के लिए कर सकता है। यह हमलावर को वैध सेवाओं के लिए लक्षित HTTPS ट्रैफ़िक को इंटरसेप्ट करने या दुर्भावनापूर्ण वेब सर्वर पर उजागर संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकता है। Vault के असुरक्षित आंतरिक नेटवर्क के संपर्क में आने वाले वातावरण में शोषण की संभावना अधिक होती है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5052 से जुड़े जोखिम को कम करने के लिए, Vault को पैच किए गए संस्करण में अपग्रेड करने की सिफारिश की जाती है। प्रभावित संस्करण Vault Community Edition 2.0.0 और Vault Enterprise 2.0.0 से पहले के संस्करण हैं, साथ ही 1.21.5, 1.20.10 और 1.19.16 भी। इसके अतिरिक्त, अपने PKI इंजन कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि ACME सत्यापन केवल बाहरी और वैध वेब सर्वरों को लक्षित करता है। नेटवर्क सेगमेंटेशन और सख्त एक्सेस नियंत्रण को लागू करने से सफल शोषण के संभावित प्रभाव को सीमित करने में मदद मिल सकती है।
Actualice Vault a la versión 2.0.0 o a una de las versiones parcheadas (1.21.5, 1.20.10, 1.19.16) para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF) en la validación de desafíos ACME. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración necesario después de la actualización. Desactive la validación de ACME si no es necesaria.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Vault Community Edition 2.0.0 और Vault Enterprise 2.0.0 से पहले के संस्करण, साथ ही 1.21.5, 1.20.10 और 1.19.16 कमजोर हैं।
अपने द्वारा उपयोग किए जा रहे Vault संस्करण की जांच करें। यदि यह सूचीबद्ध कमजोर संस्करणों में से एक है, तो आपको अपग्रेड करना चाहिए।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो बाहरी हमलावरों को इस कमजोरी का फायदा उठाने से रोकने के लिए Vault तक नेटवर्क एक्सेस को प्रतिबंधित करने पर विचार करें।
उजागर की जा सकने वाली जानकारी में आंतरिक सेवाओं पर उजागर संवेदनशील डेटा शामिल हो सकता है, जैसे कि पासवर्ड, API कुंजियाँ या व्यक्तिगत जानकारी।
अपने PKI इंजन कॉन्फ़िगरेशन की समीक्षा करें ताकि यह सुनिश्चित हो सके कि ACME सत्यापन केवल बाहरी और वैध वेब सर्वरों को लक्षित करता है। सख्त एक्सेस नियंत्रण लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।