Vulnerabilidad en el Motor de Identidades en HashiCorp Vault y Vault Enterprise (CVE-2022-40186)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/09/2022
Última modificación:
27/05/2025
Descripción
Se ha detectado un problema en HashiCorp Vault y Vault Enterprise versiones anteriores a 1.11.3. Se ha encontrado una vulnerabilidad en el Motor de Identidades por la que, en una implementación en la que una entidad presenta varios accesos de montaje con nombres de alias compartidos, Vault puede sobrescribir los metadatos en el alias incorrecto debido a un problema de comprobación del alias correcto asignado a una entidad. Esto puede permitir un acceso involuntario a las rutas de clave/valor usando esos metadatos en Vault
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.8.0 (incluyendo) | 1.9.9 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.8.0 (incluyendo) | 1.9.9 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.10.0 (incluyendo) | 1.10.6 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.10.0 (incluyendo) | 1.10.6 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:-:*:*:* | 1.11.0 (incluyendo) | 1.11.3 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.11.0 (incluyendo) | 1.11.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://discuss.hashicorp.com
- https://discuss.hashicorp.com/t/hcsec-2022-18-vault-entity-alias-metadata-may-leak-between-aliases-with-the-same-name-assigned-to-the-same-entity/44550
- https://security.netapp.com/advisory/ntap-20221111-0008/
- https://discuss.hashicorp.com
- https://discuss.hashicorp.com/t/hcsec-2022-18-vault-entity-alias-metadata-may-leak-between-aliases-with-the-same-name-assigned-to-the-same-entity/44550
- https://security.netapp.com/advisory/ntap-20221111-0008/