प्लेटफ़ॉर्म
go
घटक
hashicorp/vault
में ठीक किया गया
2.0.0
1.21.5
HashiCorp Vault में एक अस्वीकृत सेवा (DoS) भेद्यता पाई गई है, जहाँ एक अनधिकृत हमलावर बार-बार रूट टोकन पीढ़ी या रीकी संचालन शुरू या रद्द कर सकता है। यह एकल इन-प्रोग्रेस ऑपरेशन स्लॉट को भर देता है, जिससे वैध ऑपरेटरों के लिए इन वर्कफ़्लो को पूरा करना असंभव हो जाता है। यह भेद्यता, CVE-2026-5807, Vault Community Edition 2.0.0 और Vault Enterprise 2.0.0 में ठीक की गई है।
यह भेद्यता HashiCorp Vault के प्रबंधन में गंभीर व्यवधान पैदा कर सकती है। एक हमलावर लगातार रूट टोकन संचालन को बाधित करके, वैध उपयोगकर्ताओं को Vault तक पहुंचने और संवेदनशील डेटा को प्रबंधित करने से रोक सकता है। इससे डेटा हानि, सिस्टम डाउनटाइम और संभावित रूप से सुरक्षा उल्लंघनों का खतरा बढ़ सकता है। चूंकि रूट टोकन पीढ़ी और रीकी महत्वपूर्ण प्रशासनिक कार्य हैं, इसलिए इस भेद्यता का फायदा उठाकर हमलावर Vault के नियंत्रण को प्रभावी ढंग से छीन सकता है। यह विशेष रूप से उन संगठनों के लिए चिंताजनक है जो Vault का उपयोग संवेदनशील डेटा को सुरक्षित रखने और एक्सेस को नियंत्रित करने के लिए करते हैं।
CVE-2026-5807 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालांकि, भेद्यता की प्रकृति और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। इस CVE को CISA KEV कैटलॉग में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन सुरक्षा शोधकर्ताओं द्वारा सक्रिय रूप से इसकी जांच की जा रही है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-5807 को कम करने के लिए, HashiCorp Vault को संस्करण 2.0.0 या उच्चतर में तुरंत अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो रूट टोकन संचालन की दर को सीमित करने के लिए Vault कॉन्फ़िगरेशन को समायोजित करने पर विचार करें। इसके अतिरिक्त, अनधिकृत स्रोतों से आने वाले अनुरोधों को ब्लॉक करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। Vault के लॉग की नियमित रूप से निगरानी करें ताकि असामान्य गतिविधि का पता लगाया जा सके, जैसे कि रूट टोकन संचालन की अत्यधिक संख्या।
इस भेद्यता को कम करने के लिए वॉल्ट कम्युनिटी एडिशन 2.0.0 या वॉल्ट एंटरप्राइज 2.0.0 में अपडेट करें। अपडेट रूट टोकन पीढ़ी और रीकी ऑपरेशनों तक पहुंच को प्रमाणित उपयोगकर्ताओं तक सीमित करके त्रुटि को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5807 HashiCorp Vault में एक अस्वीकृत सेवा (DoS) भेद्यता है, जहाँ हमलावर रूट टोकन संचालन को बाधित कर सकता है।
यदि आप HashiCorp Vault के संस्करण 0.0.0–2.0.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-5807 को ठीक करने के लिए, HashiCorp Vault को संस्करण 2.0.0 या उच्चतर में अपग्रेड करें।
CVE-2026-5807 के सक्रिय शोषण के कोई सार्वजनिक प्रमाण नहीं हैं, लेकिन यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है।
आप HashiCorp Vault सलाहकार यहाँ पा सकते हैं: [https://www.hashicorp.com/security/announcements/cve-2026-5807](https://www.hashicorp.com/security/announcements/cve-2026-5807)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।