Platform
go
Component
hashicorp/vault
Opgelost in
2.0.0
2.0.0
1.21.5
CVE-2026-5052 is a security vulnerability affecting HashiCorp Vault's PKI engine. The issue arises from the ACME validation process failing to properly reject local targets when issuing http-01 and tls-alpn-01 challenges, potentially allowing requests to be sent to unintended local network targets. This could result in unintended information disclosure. The vulnerability impacts Vault versions 1.15.0 through 2.0.0, and a fix is available in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
CVE-2026-5052 in Vault's PKI engine stelt ACME-validatie in staat om lokale doelen niet te verwerpen bij het uitgeven van http-01 en tls-alpn-01-uitdagingen. Dit betekent dat validatieverzoeken naar lokale IP-adressen binnen het netwerk kunnen worden verzonden, zelfs als het niet de bedoelde webservers zijn. Een aanvaller met netwerktoegang kan dit misbruiken om mogelijk gevoelige informatie te verkrijgen, zoals gegevens die worden blootgesteld op interne services die niet van buitenaf toegankelijk zouden moeten zijn. De ernst van deze kwetsbaarheid wordt als matig beschouwd (CVSS 5.3) vanwege het potentiële lek van informatie, hoewel exploitatie netwerktoegang vereist.
Een aanvaller met toegang tot het netwerk waarop Vault wordt uitgevoerd, kan deze kwetsbaarheid misbruiken. De aanvaller kan een rogue webserver op het interne netwerk instellen en vervolgens Vault gebruiken om certificaten uit te geven die valideren tegen deze rogue webserver. Dit kan de aanvaller in staat stellen HTTPS-verkeer dat bestemd is voor legitieme services te onderscheppen of toegang te krijgen tot gevoelige informatie die wordt blootgesteld op de rogue webserver. Exploitatie is waarschijnlijker in omgevingen waar Vault wordt blootgesteld aan een onveilig intern netwerk.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
Om het risico dat verband houdt met CVE-2026-5052 te beperken, wordt aanbevolen Vault te upgraden naar een gepatchte versie. Betrokken versies zijn die voorafgaand aan Vault Community Edition 2.0.0 en Vault Enterprise 2.0.0, evenals 1.21.5, 1.20.10 en 1.19.16. Bekijk bovendien de configuratie van uw PKI-engine om ervoor te zorgen dat ACME-validaties alleen externe en legitieme webservers targeten. Het implementeren van netwerksegmentatie en strenge toegangscontroles kan helpen de potentiële impact van een succesvolle exploitatie te beperken.
Actualice Vault a la versión 2.0.0 o a una de las versiones parcheadas (1.21.5, 1.20.10, 1.19.16) para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF) en la validación de desafíos ACME. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración necesario después de la actualización. Desactive la validación de ACME si no es necesaria.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies voorafgaand aan Vault Community Edition 2.0.0 en Vault Enterprise 2.0.0, evenals 1.21.5, 1.20.10 en 1.19.16 zijn kwetsbaar.
Controleer de versie van Vault die u gebruikt. Als het een van de vermelde kwetsbare versies is, moet u upgraden.
Als u niet onmiddellijk kunt upgraden, overweeg dan om de netwerktoegang tot Vault te beperken om te voorkomen dat externe aanvallers de kwetsbaarheid misbruiken.
De onthulde informatie kan gevoelige gegevens omvatten die worden blootgesteld op interne services, zoals wachtwoorden, API-sleutels of persoonlijke informatie.
Bekijk de configuratie van uw PKI-engine om ervoor te zorgen dat ACME-validaties alleen externe en legitieme webservers targeten. Implementeer strenge toegangscontroles.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.