发布日期：2024-03-04
更新日期：2024-04-09

受影响系统：

HashiCorp Hashicorp Vault < 1.15.5
HashiCorp Hashicorp Vault < 1.14.10

描述：

---

CVE(CAN) ID: CVE-2024-2048

HashiCorp Vault是美国HashiCorp公司的一款私钥访问管理工具，Vault Enterprise是一个企业信息归档平台，可在所有通信平台上捕获信息--将信息从本地无缝迁移到云，并自动识别最相关的内容以确保法规遵从性。
HashiCorp Vault和HashiCorp Vault Enterprise 1.15.5之前版本、1.14.10之前版本存在证书验证错误漏洞，该漏洞源于证书验证方法未正确验证客户端证书，攻击者可利用该漏洞创建恶意证书并绕过身份认证。

<*链接：https://discuss.hashicorp.com/t/hcsec-2024-05-vault-cert-auth-method-did-not-correctly-validate-non-
*>

建议：

---

厂商补丁：

HashiCorp
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://discuss.hashicorp.com/t/hcsec-2024-05-vault-cert-auth-method-did-not-correctly-validate-non-ca-certificates/63382

浏览次数：901
严重程度：0（网友投票）