Проверка ACME механизма PKI Vault не отклоняла локальные цели при отправке запросов http-01 и tls-alpn-01. Это может привести к отправке этих запросов в локальные сетевые объекты, что потенциально может привести к раскрытию информации. Исправлено в Vault Community Edition 2.0.0 и Vault Enterprise 2.0.0, 1.21.5, 1.20.10 и 1.19.16.
Показать оригинальное описание (EN)
Vault’s PKI engine’s ACME validation did not reject local targets when issuing http-01 and tls-alpn-01 challenges. This may lead to these requests being sent to local network targets, potentially leading to information disclosure. Fixed in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1