Vulnerabilidad en los certificados TLS en las integraciones de HashiCorp Vault y Vault Enterprise Cassandra (CVE-2021-27400)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
22/04/2021
Última modificación:
27/04/2021
Descripción
Las integraciones de HashiCorp Vault y Vault Enterprise Cassandra (backend de almacenamiento y plugin del motor de secretos de la base de datos) no comprobaban los certificados TLS al conectarse a los clústeres de Cassandra. Corregido en 1.6.4 y 1.7.1
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.6.4 (excluyendo) | |
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.6.4 (excluyendo) | |
cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.7.0 (incluyendo) | 1.7.1 (excluyendo) |
cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.7.0 (incluyendo) | 1.7.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página