Vulnerabilidad en HashiCorp Vault y Vault Enterprise (CVE-2022-41316)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
12/10/2022
Última modificación:
15/05/2025
Descripción
El método de autenticación de certificados TLS de HashiCorp Vault y Vault Enterprise no cargaba inicialmente la CRL configurada opcionalmente y emitida por la CA del rol en la memoria al iniciarse, resultando en que no se comprobara la lista de revocación si la CRL aún no era recuperada. Corregido en versiones 1.12.0, 1.11.4, 1.10.7 y 1.9.10
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.9.10 (excluyendo) | |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.9.10 (excluyendo) | |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.10.0 (incluyendo) | 1.10.7 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.10.0 (incluyendo) | 1.10.7 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.11.0 (incluyendo) | 1.11.4 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.11.0 (incluyendo) | 1.11.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://discuss.hashicorp.com
- https://discuss.hashicorp.com/t/hcsec-2022-24-vaults-tls-cert-auth-method-only-loaded-crl-after-first-request/45483
- https://security.netapp.com/advisory/ntap-20221201-0001/
- https://discuss.hashicorp.com
- https://discuss.hashicorp.com/t/hcsec-2022-24-vaults-tls-cert-auth-method-only-loaded-crl-after-first-request/45483
- https://security.netapp.com/advisory/ntap-20221201-0001/