Plataforma
go
Componente
hashicorp/vault
Corrigido em
2.0.0
1.21.5
Uma vulnerabilidade de negação de serviço (DoS) foi descoberta no HashiCorp Vault, permitindo que um atacante não autenticado interrompa operações críticas como a geração e redefinição de tokens raiz. Ao iniciar ou cancelar repetidamente essas operações, o atacante pode ocupar o único slot disponível, impedindo que administradores legítimos realizem essas tarefas essenciais. A vulnerabilidade, identificada como CVE-2026-5807, afeta versões do Vault Community Edition e Enterprise de 0.0.0 até 2.0.0 e foi corrigida nas versões 2.0.0.
O impacto primário desta vulnerabilidade é a interrupção do serviço Vault. Um atacante pode efetivamente bloquear a geração de novos tokens raiz ou a rotação dos existentes, o que pode impedir o acesso a recursos protegidos pelo Vault. Isso pode levar à indisponibilidade de aplicações e serviços que dependem do Vault para autenticação e segredo. A incapacidade de gerar ou redefinir tokens pode também dificultar a recuperação de contas comprometidas ou a resposta a incidentes de segurança. A exploração bem-sucedida desta vulnerabilidade pode causar um impacto significativo na disponibilidade e na operação contínua de sistemas que dependem do Vault.
A vulnerabilidade CVE-2026-5807 foi divulgada em 2026-04-17. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no KEV (Know Exploited Vulnerabilities) da CISA ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada baixa a moderada, dependendo da exposição do Vault à internet e da implementação de medidas de segurança adicionais.
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-5807 é a atualização imediata para a versão 2.0.0 ou superior do HashiCorp Vault. Se a atualização imediata não for possível, considere implementar medidas de proteção temporárias, como a limitação da taxa de requisições (rate limiting) para as APIs de geração e redefinição de tokens. Monitore os logs do Vault em busca de padrões de requisições anormais, como um grande número de solicitações de geração ou cancelamento de tokens em um curto período de tempo. Implementar regras de firewall para restringir o acesso às APIs de gerenciamento de tokens apenas a fontes confiáveis também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando os logs do Vault e monitorando o comportamento do sistema.
Atualize o Vault Community Edition 2.0.0 ou Vault Enterprise 2.0.0 para mitigar esta vulnerabilidade. A atualização corrige a falha ao limitar o acesso às operações de geração e rekey de tokens root a usuários autenticados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It's a denial-of-service vulnerability in HashiCorp Vault allowing an attacker to disrupt root token management, preventing legitimate users from accessing secrets.
If you are running HashiCorp Vault versions 0.0.0 through 2.0.0, you are potentially affected by this vulnerability. Check your Vault version immediately.
Upgrade to HashiCorp Vault version 2.0.0 or later to resolve the vulnerability. If upgrading is not possible, implement rate limiting as a temporary workaround.
As of the publication date, there are no publicly known exploits or active campaigns targeting CVE-2026-5807.
Refer to the official HashiCorp security advisory and the CVE details on the NIST National Vulnerability Database (NVD) for comprehensive information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.