Podatność w HashiCorp Vault umożliwia uprzywilejowanemu operatorowi z uprawnieniami zapisu do ścieżki sys/audit uzyskanie wykonania kodu (RCE) na hoście, na którym działa Vault. Zagrożenie jest krytyczne, ponieważ pozwala na pełne przejęcie kontroli nad serwerem bazowym.
▸ Pokaż oryginał (EN)
A privileged Vault operator within the root namespace with write permission to {{sys/audit}} may obtain code execution on the underlying host if a plugin directory is set in Vault’s configuration. Fixed in Vault Community Edition 1.20.1 and Vault Enterprise 1.20.1, 1.19.7, 1.18.12, and 1.16.23.
Atak wymaga posiadania konta operatora w głównej przestrzeni nazw (root namespace) z uprawnieniami zapisu do endpointu sys/audit. Jeśli w konfiguracji Vault ustawiony jest katalog wtyczek (plugin directory), atakujący może poprzez odpowiednio spreparowane żądanie do sys/audit doprowadzić do wykonania dowolnego kodu na poziomie systemu operacyjnego hosta. Mechanizm podatności klasyfikowany jest jako code injection (CWE-94), co oznacza możliwość wstrzyknięcia i uruchomienia złośliwego kodu.
Atakujący może uzyskać wykonanie dowolnego kodu na hoście z uprawnieniami procesu Vault, co w praktyce oznacza pełne przejęcie kontroli nad serwerem, możliwość eksfiltracji sekretów oraz dalszy lateral movement w infrastrukturze.
Należy zaktualizować do wersji Vault Community Edition 1.20.1 lub odpowiednio Vault Enterprise 1.20.1, 1.19.7, 1.18.12 albo 1.16.23. Dodatkowo, jako środek tymczasowy, warto zweryfikować i ograniczyć liczbę kont z uprawnieniami zapisu do sys/audit w root namespace oraz rozważyć usunięcie konfiguracji plugin directory, jeśli nie jest wymagana.
HashiCorp Vault Community Edition oraz Vault Enterprise — wszystkie wersje przed 1.20.1 (Community Edition), a także Enterprise w wersjach przed 1.20.1, 1.19.7, 1.18.12 i 1.16.23, pod warunkiem że w konfiguracji ustawiony jest katalog wtyczek (plugin directory).
Podatność wymaga wysokich uprawnień (PR:H) — konta operatora w root namespace z prawem zapisu do sys/audit — co ogranicza powierzchnię ataku, jednak zakres C:H/I:H/A:H przy zmianie kontekstu (S:C) uzasadnia ocenę CVSS 9.1. Szczegóły opublikowane przez HashiCorp pod adresem HCSEC-2025-14.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HHashicorp Vault
APPHashicorp1.20.00.8.0 – 1.16.23 (bez)0.8.0 – 1.20.1 (bez)1.17.0 – 1.18.12 (bez)1.19.0 – 1.19.7 (bez)
Powiązane podatności
An issue was discovered in HashiCorp Vault and Vault Enterprise before 1.11.3. A vulnerability in the Identity...
HashiCorp Vault Enterprise 1.7.0 through 1.9.7, 1.10.4, and 1.11.0 clusters using Integrated Storage expose an...
The official vault docker images before 0.11.6 contain a blank password for a root user. System using the vaul...
HashiCorp Vault and Vault Enterprise 1.4.0 and 1.4.1, when configured with the GCP Secrets Engine, may incorre...
HashiCorp Vault and Vault Enterprise versions 0.11.0 through 1.3.3 may, under certain circumstances, have exis...