Все бюллетени/sisyphus/ALT-PU-2025-16975-2
ALT-PU-2025-16975-2

Обновление пакета vault в ветке sisyphus

Версия1.13.12-alt7
Задание#388539
Опубликовано2026-04-29
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (9)

BDU:2025-08610
LOW3.1

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault Community Edition и Vault Enterprise, связанная с ошибками управления ресурсами, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-07-17
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L
CVSS 2.0НИЗКАЯ 2.6
CVSS:2.0/AV:N/AC:H/Au:N/C:N/I:N/A:P
Ссылки
BDU:2025-10637
HIGH7.5

Уязвимость подпрограммы аудита платформ для архивирования корпоративной информации Vault Enterprise и Vault Community Edition, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-09-01Изменено: 2025-10-23
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
CVE-2025-4656
LOW3.1

Vault Community and Vault Enterprise rekey and recovery key operations can lead to a denial of service due to uncontrolled cancellation by a Vault operator. This vulnerability (CVE-2025-4656) has been remediated in Vault Community Edition 1.20.0 and Vault Enterprise 1.20.0, 1.19.6, 1.18.11, 1.17.17, and 1.16.22.

Опубликовано: 2025-06-25Изменено: 2025-08-13
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L
Ссылки
CVE-2025-6203
HIGH7.5

A malicious user may submit a specially-crafted complex payload that otherwise meets the default request size limit which results in excessive memory and CPU consumption of Vault. This may lead to a timeout in Vault’s auditing subroutine, potentially resulting in the Vault server to become unresponsive. This vulnerability, CVE-2025-6203, is fixed in Vault Community Edition 1.20.3 and Vault Enterprise 1.20.3, 1.19.9, 1.18.14, and 1.16.25.

Опубликовано: 2025-08-28Изменено: 2025-12-18
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2026-5052
HIGH8.6

Vault’s PKI engine’s ACME validation did not reject local targets when issuing http-01 and tls-alpn-01 challenges. This may lead to these requests being sent to local network targets, potentially leading to information disclosure. Fixed in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.

Опубликовано: 2026-04-17Изменено: 2026-04-27
CVSS 3.xВЫСОКАЯ 8.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Ссылки
GHSA-8f82-53h8-2p34
HIGH7.5

HashiCorp Vault Community Edition Denial of Service Though Complex JSON Payloads

Опубликовано: 2025-08-29Изменено: 2025-08-29
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
GHSA-8r5m-3f66-qpr3
MEDIUM5.3

HashiCorp Vault has Server-Side Request Forgery in ACME Challenge Validation via Attacker-Controlled DNS

Опубликовано: 2026-04-17Изменено: 2026-04-18
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
GHSA-fhc2-8qx8-6vj7
LOW3.1

Vault Community Edition rekey and recovery key operations can cause denial of service

Опубликовано: 2025-06-27Изменено: 2025-06-28
CVSS 3.xНИЗКАЯ 3.1
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L
Ссылки
GHSA-g46h-2rq9-gw5m
HIGH7.5

OpenBao has potential Denial of Service vulnerability when processing malicious unauthenticated JSON requests

Опубликовано: 2025-10-17Изменено: 2025-10-17
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки