Аутентифицированный пользователь, имеющий доступ к пути kvv2 через политику, содержащую glob, может иметь возможность удалить секреты, на чтение или запись которых ему не разрешено, что приведет к отказу в обслуживании. Эта уязвимость не позволяла злоумышленнику удалять секреты в пространствах имен или читать какие-либо секретные данные. Исправлено в Vault Community Edition 2.0.0 и Vault Enterprise 2.0.0, 1.21.5, 1.20.10 и 1.19.16.
Показать оригинальное описание (EN)
An authenticated user with access to a kvv2 path through a policy containing a glob may be able to delete secrets they were not authorized to read or write, resulting in denial-of-service. This vulnerability did not allow a malicious user to delete secrets across namespaces, nor read any secret data. Fxed in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
Характеристики атаки
Последствия
Строка CVSS v3.1