Plataforma
go
Componente
hashicorp/vault
Corrigido em
2.0.0
2.0.0
1.21.5
CVE-2026-5052 is a security vulnerability affecting HashiCorp Vault's PKI engine. The issue arises from the ACME validation process failing to properly reject local targets when issuing http-01 and tls-alpn-01 challenges, potentially allowing requests to be sent to unintended local network targets. This could result in unintended information disclosure. The vulnerability impacts Vault versions 1.15.0 through 2.0.0, and a fix is available in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
A vulnerabilidade CVE-2026-5052 no motor PKI do Vault permite que as validações ACME não rejeitem alvos locais ao emitir desafios http-01 e tls-alpn-01. Isso significa que as solicitações de validação podem ser enviadas para endereços IP locais dentro da rede, mesmo que não sejam os servidores web esperados. Um atacante com acesso à rede pode explorar isso para obter informações confidenciais, como dados sensíveis expostos em serviços internos que não deveriam ser acessíveis externamente. A gravidade desta vulnerabilidade é considerada moderada (CVSS 5.3) devido ao potencial de divulgação de informações, embora a exploração exija acesso à rede interna.
Um atacante que tenha acesso à rede onde o Vault é executado pode explorar esta vulnerabilidade. O atacante pode configurar um servidor web falso na rede interna e, em seguida, usar o Vault para emitir certificados que validem contra este servidor web falso. Isso pode permitir que o atacante intercepte o tráfego HTTPS destinado a serviços legítimos ou acesse informações confidenciais expostas no servidor web falso. A exploração é mais provável em ambientes onde o Vault é exposto a uma rede interna não segura.
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
Para mitigar o risco associado ao CVE-2026-5052, recomenda-se atualizar o Vault para uma versão corrigida. As versões afetadas são as anteriores ao Vault Community Edition 2.0.0 e Vault Enterprise 2.0.0, bem como 1.21.5, 1.20.10 e 1.19.16. Além disso, recomenda-se revisar a configuração do motor PKI para garantir que as validações ACME sejam direcionadas apenas a servidores web externos e legítimos. A implementação de segmentação de rede e controles de acesso rigorosos pode ajudar a limitar o impacto potencial de uma exploração bem-sucedida.
Actualice Vault a la versión 2.0.0 o a una de las versiones parcheadas (1.21.5, 1.20.10, 1.19.16) para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF) en la validación de desafíos ACME. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración necesario después de la actualización. Desactive la validación de ACME si no es necesaria.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões anteriores ao Vault Community Edition 2.0.0 e Vault Enterprise 2.0.0, bem como 1.21.5, 1.20.10 e 1.19.16 são vulneráveis.
Verifique a versão do Vault que você está usando. Se for uma das versões listadas como vulneráveis, você deve atualizar.
Se você não puder atualizar imediatamente, considere restringir o acesso de rede ao Vault para evitar que atacantes externos explorem a vulnerabilidade.
As informações divulgadas podem incluir dados confidenciais expostos em serviços internos, como senhas, chaves de API ou informações pessoais.
Revise a configuração do motor PKI para garantir que as validações ACME sejam direcionadas apenas a servidores web externos e legítimos. Implemente controles de acesso rigorosos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.