Platform
go
Component
hashicorp/vault
Opgelost in
2.0.0
2.0.0
1.21.5
CVE-2026-3605 is een denial-of-service kwetsbaarheid in HashiCorp Vault. Een geauthenticeerde gebruiker met toegang tot een kvv2 pad via een beleid met een glob kan geheimen verwijderen waarvoor ze geen lees- of schrijfrechten hebben. Dit kan leiden tot verstoring van de dienstverlening, hoewel de kwetsbaarheid geen toegang tot geheime data of namespaces mogelijk maakt. De kwetsbaarheid treft Vault Community Edition versies 0.10.0 tot en met 2.0.0, en Vault Enterprise versies binnen hetzelfde bereik. De kwetsbaarheid is verholpen in Vault Community Edition 2.0.0 en Vault Enterprise 2.0.0, 1.21.5, 1.20.10, en 1.19.16.
Een succesvolle exploitatie van CVE-2026-3605 kan leiden tot een denial-of-service (DoS) in HashiCorp Vault. Een aanvaller, die reeds geauthenticeerd is en toegang heeft tot een kvv2 pad via een beleid met een glob, kan geheimen verwijderen waarvoor ze geen autorisatie hebben. Hoewel de aanvaller geen geheime data kan lezen of geheimen in andere namespaces kan verwijderen, kan het verwijderen van kritieke geheimen de functionaliteit van applicaties die afhankelijk zijn van Vault aanzienlijk verstoren. Dit kan leiden tot downtime en operationele verstoringen. De impact is vooral groot in omgevingen waar Vault centraal wordt gebruikt voor het beheer van geheimen en waar het verwijderen van geheimen directe gevolgen heeft voor de werking van andere systemen.
CVE-2026-3605 werd gepubliceerd op 17 april 2026. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis of publieke proof-of-concept (POC) code. De CVSS score van 8.1 (HIGH) geeft aan dat de kwetsbaarheid een significant risico vormt, vooral in omgevingen waar Vault wordt gebruikt voor kritieke geheimenbeheer. De kwetsbaarheid is niet opgenomen in de KEV catalogus. De kans op exploitatie wordt beschouwd als gemiddeld, gezien de noodzaak van authenticatie en de vereiste configuratie van globs in toegangsbeheerbeleidsregels.
Organizations heavily reliant on HashiCorp Vault for secrets management, particularly those utilizing kvv2 paths with wildcard patterns in their policies, are at increased risk. Shared hosting environments where multiple users share Vault access and policies are also particularly vulnerable.
• linux / server:
journalctl -u vault -g 'secret deletion'• generic web:
curl -I https://vault.example.com/v1/kv/v2/path/with/wildcard | grep -i '403 forbidden'disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-3605 is het updaten van HashiCorp Vault naar een versie die de kwetsbaarheid verhelpt. Dit omvat Vault Community Edition 2.0.0, Vault Enterprise 2.0.0, 1.21.5, 1.20.10, en 1.19.16. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de scope van de globs in de toegangsbeheerbeleidsregels (access policies) om te voorkomen dat gebruikers toegang krijgen tot kvv2 paden waarvoor ze geen autorisatie hebben. Controleer en herzie bestaande beleidsregels om te zorgen voor een strikte 'least privilege' aanpak. Na de upgrade, verifieer de correcte werking van Vault en de afhankelijke applicaties door te controleren of geheimen correct worden beheerd en dat er geen onverwachte fouten optreden.
Actualice a Vault Community Edition 2.0.0 o a una de las siguientes versiones: 1.21.5, 1.20.10 o 1.19.16. Esta actualización corrige una vulnerabilidad que permite a usuarios autenticados con acceso a una ruta kvv2 a través de una política con un comodín eliminar secretos para los que no tienen autorización de lectura o escritura, lo que puede provocar una denegación de servicio. Consulte la documentación oficial de HashiCorp para obtener instrucciones detalladas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3605 is a denial-of-service vulnerability in HashiCorp Vault versions 0.10.0–2.0.0 where an authenticated user with a permissive policy can delete secrets they lack write access to.
You are affected if you are running HashiCorp Vault versions 0.10.0 through 2.0.0 and using kvv2 paths with wildcard patterns in your policies.
Upgrade to HashiCorp Vault version 2.0.0, 1.21.5, 1.20.10, or 1.19.16. Review and restrict kvv2 policy permissions.
As of now, there are no confirmed reports of active exploitation of CVE-2026-3605.
Refer to the official HashiCorp security advisory for CVE-2026-3605 on the HashiCorp website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.