Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los certificados TLS en las integraciones de HashiCorp Vault y Vault Enterprise Cassandra (CVE-2021-27400)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
22/04/2021
Última modificación:
27/04/2021

Descripción

Las integraciones de HashiCorp Vault y Vault Enterprise Cassandra (backend de almacenamiento y plugin del motor de secretos de la base de datos) no comprobaban los certificados TLS al conectarse a los clústeres de Cassandra. Corregido en 1.6.4 y 1.7.1

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* 1.6.4 (excluyendo)
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* 1.6.4 (excluyendo)
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* 1.7.0 (incluyendo) 1.7.1 (excluyendo)
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* 1.7.0 (incluyendo) 1.7.1 (excluyendo)