发布日期：2025-11-21
更新日期：2026-01-15

受影响系统：

HashiCorp Vault Terraform Provider >= 4.2.0 < 5.5.0

描述：

---

CVE(CAN) ID: CVE-2025-13357

Vault Terraform Provider是美国HashiCorp公司的一个密钥管理工具。
Vault Terraform Provider 4.2.0至5.5.0之前版本存在身份认证绕过漏洞，该漏洞源于Terraform Provider错误地将LDAP认证方法的默认参数deny_null_bind设置为false，攻击者可利用该漏洞导致认证绕过。

<*链接：https://discuss.hashicorp.com/t/hcsec-2025-33-vault-terraform-provider-applied-incorrect-defaults-fo
*>

建议：

---

厂商补丁：

HashiCorp
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://discuss.hashicorp.com/t/hcsec-2025-33-vault-terraform-provider-applied-incorrect-defaults-for-ldap-auth-method/76822

浏览次数：92
严重程度：0（网友投票）