Plataforma
go
Componente
hashicorp/vault
Corrigido em
2.0.0
2.0.0
1.21.5
CVE-2026-3605 is a denial-of-service vulnerability affecting HashiCorp Vault versions 0.10.0 through 2.0.0. An authenticated user with a policy granting access to a kvv2 path using a wildcard can inadvertently delete secrets they are not authorized to modify. This vulnerability does not allow for secret data exfiltration or cross-namespace secret deletion, but can disrupt service availability.
A vulnerabilidade CVE-2026-3605 no Vault permite que um usuário autenticado com acesso a um caminho kvv2 através de uma política contendo um curinga (glob) exclua segredos para os quais não está autorizado a ler ou escrever, resultando em uma negação de serviço (DoS). É importante notar que esta vulnerabilidade não permitiu que um usuário malicioso excluísse segredos entre namespaces, nem lesse dados de segredos. O impacto principal é a possibilidade de perda acidental ou maliciosa de segredos dentro do mesmo namespace.
Um atacante precisa ser um usuário autenticado no Vault e ter acesso a um caminho kvv2. A chave para a exploração é a existência de uma política que utiliza um curinga (glob) no caminho kvv2. Se um usuário autenticado puder manipular a política ou tiver uma política existente com um curinga que lhe permita acessar o caminho kvv2, ele poderá potencialmente excluir segredos para os quais não tem permissões de gravação. A exploração não requer privilégios elevados no sistema operacional subjacente.
Organizations heavily reliant on HashiCorp Vault for secrets management, particularly those utilizing kvv2 paths with wildcard patterns in their policies, are at increased risk. Shared hosting environments where multiple users share Vault access and policies are also particularly vulnerable.
• linux / server:
journalctl -u vault -g 'secret deletion'• generic web:
curl -I https://vault.example.com/v1/kv/v2/path/with/wildcard | grep -i '403 forbidden'disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, atualize para Vault Community Edition 2.0.0 ou uma das seguintes versões: Vault Enterprise 2.0.0, 1.21.5, 1.20.10 ou 1.19.16. Além disso, revise cuidadosamente as políticas de acesso do Vault, especialmente aquelas que utilizam curingas (globs) nos caminhos kvv2. Certifique-se de que as políticas estejam configuradas para conceder o acesso mínimo necessário a cada usuário ou função. Considere a possibilidade de usar políticas mais restritivas e específicas em vez de curingas amplos para reduzir a superfície de ataque.
Actualice a Vault Community Edition 2.0.0 o a una de las siguientes versiones: 1.21.5, 1.20.10 o 1.19.16. Esta actualización corrige una vulnerabilidad que permite a usuarios autenticados con acceso a una ruta kvv2 a través de una política con un comodín eliminar secretos para los que no tienen autorización de lectura o escritura, lo que puede provocar una denegación de servicio. Consulte la documentación oficial de HashiCorp para obtener instrucciones detalladas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um curinga é um caractere especial (como ) usado em políticas do Vault para representar vários caminhos ou nomes de segredos. Por exemplo, kvv2/data/ permitiria o acesso a todos os segredos dentro do caminho kvv2/data. O uso excessivo de curingas pode aumentar o risco desta vulnerabilidade.
Você pode usar a API do Vault para listar as políticas e procurar aquelas que contenham o caractere curinga (*). Consulte a documentação do Vault para obter mais detalhes sobre como usar a API de políticas.
Enquanto isso, revise e restrinja as políticas que utilizam curingas nos caminhos kvv2. Certifique-se de que as políticas concedam apenas o acesso mínimo necessário. Monitore os logs do Vault em busca de atividades suspeitas.
Não, esta vulnerabilidade afeta apenas os segredos armazenados em caminhos kvv2. Outros tipos de segredos, como segredos de banco de dados ou certificados, não são afetados diretamente.
Existem várias ferramentas de terceiros e scripts que podem ajudá-lo a auditar suas políticas do Vault e identificar possíveis problemas de segurança, incluindo o uso excessivo de curingas. Procure ferramentas de 'Vault Policy Analyzer' ou 'Vault Policy Auditor'.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.