平台
go
组件
hashicorp/vault
修复版本
2.0.0
2.0.0
1.21.5
CVE-2026-5052是Vault PKI引擎中发现的一个安全漏洞,该漏洞源于ACME验证流程未能正确拒绝本地目标。攻击者可能利用此漏洞,将http-01和tls-alpn-01挑战请求发送到本地网络目标,从而导致敏感信息泄露。该漏洞影响Vault 1.15.0到2.0.0版本,目前已在Vault Community Edition 2.0.0和Vault Enterprise 2.0.0, 1.21.5, 1.20.10, 1.19.16版本中修复。
Vault PKI引擎中的CVE-2026-5052允许ACME验证在发出http-01和tls-alpn-01挑战时,不拒绝本地目标。这意味着验证请求可能会发送到网络中的本地IP地址,即使它们不是预期的Web服务器。具有网络访问权限的攻击者可能会利用此漏洞来潜在地获取敏感信息,例如暴露在不应从外部访问的内部服务中的数据。此漏洞的严重程度被认为是中等(CVSS 5.3),因为存在信息泄露的潜在风险,尽管利用需要网络访问。
具有访问Vault运行网络的攻击者可能会利用此漏洞。攻击者可以在内部网络上设置一个恶意的Web服务器,然后使用Vault发出针对该恶意Web服务器进行验证的证书。这可能允许攻击者拦截用于合法服务的HTTPS流量或访问恶意Web服务器上公开的敏感信息。在Vault暴露于不安全的内部网络的环境中,利用的可能性更高。
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
为了减轻与CVE-2026-5052相关的风险,建议将Vault升级到已修复的版本。受影响的版本是Vault Community Edition 2.0.0和Vault Enterprise 2.0.0之前的版本,以及1.21.5、1.20.10和1.19.16。此外,请审查您的PKI引擎配置,以确保ACME验证仅针对外部和合法的Web服务器。实施网络隔离和严格的访问控制可以帮助限制成功利用的潜在影响。
Actualice Vault a la versión 2.0.0 o a una de las versiones parcheadas (1.21.5, 1.20.10, 1.19.16) para mitigar la vulnerabilidad de Server-Side Request Forgery (SSRF) en la validación de desafíos ACME. Asegúrese de revisar las notas de la versión para cualquier cambio de configuración necesario después de la actualización. Desactive la validación de ACME si no es necesaria.
漏洞分析和关键警报直接发送到您的邮箱。
Vault Community Edition 2.0.0和Vault Enterprise 2.0.0之前的版本,以及1.21.5、1.20.10和1.19.16容易受到攻击。
检查您使用的Vault版本。如果是列表中受影响的版本之一,则应升级。
如果无法立即升级,请考虑限制Vault的网络访问,以防止外部攻击者利用此漏洞。
可能泄露的信息包括暴露在内部服务上的敏感数据,例如密码、API密钥或个人信息。
审查您的PKI引擎配置,以确保ACME验证仅针对外部和合法的Web服务器。实施严格的访问控制。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。