मुफ्त स्कैन करें
HIGHCVE-2026-4525CVSS 7.5

HashiCorp Vault गलत हेडर सैनिटाइजेशन के कारण ऑथ प्लगइन्स को टोकन उजागर कर सकता है

प्लेटफ़ॉर्म

go

घटक

hashicorp/vault

में ठीक किया गया

2.0.0

2.0.0

1.21.5

AI Confidence: highNVDEPSS 0.0%समीक्षित: अप्रैल 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-4525 is a security vulnerability affecting HashiCorp Vault. This issue occurs when an auth mount passes through the "Authorization" header, potentially exposing Vault tokens to the backend authentication plugin. The vulnerability impacts versions 0.11.2 through 2.0.0 of Vault. A fix is available in versions 2.0.0, 1.21.5, 1.20.10, and 1.19.16.

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

CVE-2026-4525 Vault को प्रभावित करता है जब कोई प्रमाणीकरण माउंट 'Authorization' हेडर को अग्रेषित करने के लिए कॉन्फ़िगर किया गया हो। इस परिदृश्य में, यदि 'Authorization' हेडर का उपयोग Vault को प्रमाणित करने के लिए किया जाता है, तो Vault अनजाने में Vault टोकन को प्रमाणीकरण प्लगइन बैकएंड में अग्रेषित करता है। यह एक हमलावर को प्रमाणीकरण प्लगइन बैकएंड को समझौता करने की अनुमति दे सकता है, जिससे Vault में संग्रहीत रहस्यों तक पहुंच प्राप्त हो सकती है या अनधिकृत क्रियाएं निष्पादित की जा सकती हैं। CVSS के अनुसार इस मुद्दे की गंभीरता को 7.5 (उच्च) के रूप में रेट किया गया है। अनपेक्षित प्रमाणीकरण प्लगइन बैकएंड पर Vault टोकन का एक्सपोजर एक महत्वपूर्ण सुरक्षा जोखिम पैदा करता है, क्योंकि यह विशेषाधिकार वृद्धि और संवेदनशील डेटा तक अनधिकृत पहुंच को सुविधाजनक बना सकता है। Vault द्वारा प्रबंधित रहस्यों की अखंडता और गोपनीयता की रक्षा के लिए इस भेद्यता को संबोधित करना महत्वपूर्ण है।

शोषण संदर्भ

जब एक हमलावर Vault को भेजे गए 'Authorization' हेडर को नियंत्रित करने में सक्षम होता है, तो इस भेद्यता का शोषण किया जाता है। यदि एक हमलावर इस हेडर को वैध Vault टोकन को शामिल करने के लिए हेरफेर कर सकता है, तो Vault उस टोकन को प्रमाणीकरण प्लगइन बैकएंड में अग्रेषित करेगा। प्रमाणीकरण प्लगइन बैकएंड तब इस टोकन का उपयोग उन संसाधनों तक पहुंचने या उन क्रियाओं को निष्पादित करने के लिए कर सकता है जिन्हें हमलावर को निष्पादित करने की अनुमति नहीं होनी चाहिए। शोषण की संभावना Vault के कॉन्फ़िगरेशन और प्रमाणीकरण प्लगइन बैकएंड की सुरक्षा पर निर्भर करती है। एक ऐसा वातावरण जहां 'Authorization' हेडर का उपयोग प्रमाणीकरण के लिए व्यापक रूप से किया जाता है और जहां प्रमाणीकरण प्लगइन बैकएंड पर्याप्त रूप से सुरक्षित नहीं है, वह अधिक असुरक्षित है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.02% (4% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.5HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकhashicorp/vault
विक्रेताHashiCorp
प्रभावित श्रेणीमें ठीक किया गया
0.11.2 – 2.0.02.0.0
0.11.2 – 2.0.02.0.0
0.11.2 – 1.21.41.21.5

कमजोरी वर्गीकरण (CWE)

CWE-201

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-4525 को कम करने के लिए, Vault के उस संस्करण में अपग्रेड करने की अनुशंसा की जाती है जिसमें फिक्स शामिल है। प्रभावित संस्करण 2.0.0, 1.21.5, 1.20.10 और 1.19.16 से पहले के संस्करण हैं। अपग्रेड सबसे प्रभावी समाधान है। यदि तत्काल अपग्रेड संभव नहीं है, तो आप प्रमाणीकरण माउंट कॉन्फ़िगरेशन में 'Authorization' हेडर अग्रेषण कार्यक्षमता को अक्षम कर सकते हैं। Vault के प्रमाणीकरण माउंट कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करें ताकि यह सुनिश्चित हो सके कि 'Authorization' हेडर अनावश्यक रूप से अग्रेषित नहीं किया जा रहा है। Vault टोकन एक्सपोजर के संभावित प्रभाव को सीमित करने के लिए प्रमाणीकरण प्लगइन बैकएंड पर सख्त एक्सेस नियंत्रण लागू करें। प्रमाणीकरण और हेडर अग्रेषण से संबंधित संदिग्ध गतिविधि के लिए Vault लॉग की निगरानी करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice Vault a la versión 2.0.0, 1.21.5, 1.20.10 o 1.19.16.  Desactive la autorización de paso del encabezado 'Authorization' en las configuraciones de los auth mounts, o asegúrese de que el encabezado 'Authorization' se esté utilizando únicamente para autenticarse en Vault y no se esté pasando a los backends de auth plugin.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-4525 क्या है — HashiCorp Vault में?

2.0.0, 1.21.5, 1.20.10 और 1.19.16 से पहले के संस्करण प्रभावित हैं।

क्या मैं HashiCorp Vault में CVE-2026-4525 से प्रभावित हूं?

अपने द्वारा उपयोग किए जा रहे Vault संस्करण की जांच करें। यदि यह पैच किए गए संस्करणों से पहले का है, तो आप प्रभावित हैं।

HashiCorp Vault में CVE-2026-4525 को कैसे ठीक करें?

यह एक HTTP हेडर है जिसका उपयोग प्रमाणीकरण जानकारी, जैसे प्रमाणीकरण टोकन को प्रसारित करने के लिए किया जाता है।

क्या CVE-2026-4525 का सक्रिय रूप से शोषण किया जा रहा है?

यह सिस्टम या सेवा है जिसका उपयोग Vault उपयोगकर्ता क्रेडेंशियल्स को सत्यापित करने के लिए करता है।

CVE-2026-4525 के लिए HashiCorp Vault का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

प्रमाणीकरण माउंट कॉन्फ़िगरेशन में 'Authorization' हेडर अग्रेषण को अक्षम करना एक अस्थायी समाधान है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें