发布日期：2024-10-10
更新日期：2024-12-19

受影响系统：

HashiCorp HashiCorp Vault Enterprise
HashiCorp HashiCorp Vault Community Edition

描述：

---

CVE(CAN) ID: CVE-2024-9180

HashiCorp Vault Enterprise和HashiCorp Vault Community Edition都是美国HashiCorp公司的产品，HashiCorp Vault Enterprise是一个企业信息归档平台，HashiCorp Vault Community Edition是一款密钥管理引擎，用来集中存储集群运行过程中所需要的秘密信息。
HashiCorp Vault Community Edition和Vault Enterprise存在权限升级漏洞，攻击者可利用领导可以将其权限升级到Vault的根策略。

<**>

建议：

---

厂商补丁：

HashiCorp
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://discuss.hashicorp.com/t/hcsec-2024-21-vault-operators-in-root-namespace-may-elevate-their-privileges/70565

浏览次数：159
严重程度：0（网友投票）