发布日期：2024-09-26
更新日期：2025-03-06

受影响系统：

HashiCorp HashiCorp Vault Enterprise 1.17.6
HashiCorp HashiCorp Vault Enterprise 1.16.10
HashiCorp HashiCorp Vault Enterprise 1.15.15
HashiCorp HashiCorp Vault Community Edition 1.17.6

描述：

---

CVE(CAN) ID: CVE-2024-7594

HashiCorp Vault Enterprise和HashiCorp Vault Community Edition都是美国HashiCorp公司的产品，HashiCorp Vault Enterprise是一个企业信息归档平台，HashiCorp Vault Community Edition是一款密钥管理引擎，用来集中存储集群运行过程中所需要的秘密信息。
HashiCorp Vault Enterprise 1.17.6，1.16.10，和1.15.15版本以及HashiCorp Vault Community Edition 1.17.6版本存在关键资源权限分配错误漏洞，该漏洞源于SSH机密引擎默认不限制有效主体，经过授权的攻击者可以利用该漏洞通过向Vault的SSH密钥引擎请求的SSH证书在主机上以任何用户身份进行身份验证。

<**>

建议：

---

厂商补丁：

HashiCorp
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://discuss.hashicorp.com/t/hcsec-2024-20-vault-ssh-secrets-engine-configuration-did-not-restrict-valid-principals-by-default/70251

浏览次数：142
严重程度：0（网友投票）