プラットフォーム
go
コンポーネント
hashicorp/vault
修正版
2.0.0
1.21.5
CVE-2026-5807は、HashiCorp Vaultにおけるサービス拒否(DoS)脆弱性です。攻撃者は、認証なしでルートトークンの生成やリキー操作を繰り返し実行することで、Vaultのシングル操作スロットを占有し、正規のオペレーターがこれらの重要なタスクを実行できなくなる可能性があります。この脆弱性は、Vault Community EditionおよびVault Enterpriseのバージョン0.0.0から2.0.0までの範囲に影響を与えます。Vault 2.0.0でこの問題が修正されました。
この脆弱性を悪用されると、攻撃者はHashiCorp Vaultの可用性を著しく低下させることができます。攻撃者は、ルートトークンの生成やリキー操作を継続的に妨害することで、Vaultの管理機能を事実上停止させ、機密データのアクセスや保護を困難にします。これにより、組織は機密情報の漏洩、不正アクセス、およびシステム全体のダウンタイムに直面するリスクが高まります。この攻撃は、Vaultのシングル操作スロットを占有するため、他の正規のオペレーターも影響を受け、Vaultの管理と運用が困難になります。攻撃者は、Vaultの可用性を低下させることで、組織のセキュリティ体制全体を弱体化させ、さらなる攻撃の足がかりとする可能性があります。
CVE-2026-5807は、2026年4月17日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、DoS攻撃の可能性を考慮すると、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Vaultの可用性を低下させる可能性があるため、早急な対応が必要です。
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
この脆弱性への対応として、まずHashiCorp Vaultをバージョン2.0.0以降にアップグレードすることを強く推奨します。アップグレードが直ちに実行できない場合は、Vaultのレート制限機能を活用し、ルートトークン生成およびリキー操作の頻度を制限することで、攻撃の影響を軽減できます。また、WAF(Web Application Firewall)やリバースプロキシを使用して、異常なリクエストパターンを検出し、ブロックすることも有効です。Vaultのログを監視し、異常な操作の兆候を早期に発見することも重要です。アップグレード後、Vaultの正常な動作を確認し、ルートトークンの生成やリキー操作が正常に完了することを確認してください。
この脆弱性を軽減するために、Vault Community Edition 2.0.0 または Vault Enterprise 2.0.0 にアップデートしてください。アップデートにより、ルートトークンの生成およびリキー操作へのアクセスを認証されたユーザーに制限することで、この問題が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5807は、HashiCorp Vaultのルートトークン生成/リキー操作を悪用し、サービス拒否を引き起こす脆弱性です。攻撃者は認証なしで操作を繰り返し実行し、Vaultの正常な運用を妨害します。
HashiCorp Vaultのバージョンが0.0.0から2.0.0までの範囲である場合、この脆弱性に影響を受ける可能性があります。バージョン2.0.0以降にアップグレードすることで、この問題を解決できます。
HashiCorp Vaultをバージョン2.0.0以降にアップグレードしてください。アップグレードが困難な場合は、レート制限機能を活用し、WAFやリバースプロキシで異常なリクエストをブロックするなどの対策を講じてください。
現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、DoS攻撃の可能性を考慮すると、悪用されるリスクは存在します。
HashiCorpの公式アドバイザリは、HashiCorpのセキュリティアドバイザリページで確認できます。詳細は、HashiCorpのウェブサイトを参照してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。