Vulnerabilidad en HashiCorp Vault y Vault Enterprise 1.12.0 (CVE-2023-6337)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/12/2023
Última modificación:
12/01/2024
Descripción
HashiCorp Vault y Vault Enterprise 1.12.0 y versiones posteriores son vulnerables a una denegación de servicio debido al agotamiento de la memoria del host cuando se manejan grandes solicitudes HTTP autenticadas y no autenticadas de un cliente. Vault intentará asignar la solicitud a la memoria, lo que provocará que se agote la memoria disponible en el host, lo que puede provocar que Vault falle. Corregido en Vault 1.15.4, 1.14.8, 1.13.12.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hashicorp:vault:*:*:*:*:*:*:*:* | 1.12.0 (incluyendo) | |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.12.0 (incluyendo) | |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:*:*:*:* | 1.13.0 (incluyendo) | 1.13.12 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.13.0 (incluyendo) | 1.13.12 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:*:*:*:* | 1.14.0 (incluyendo) | 1.14.8 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.14.0 (incluyendo) | 1.14.8 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:*:*:*:* | 1.15.0 (incluyendo) | 1.15.4 (excluyendo) |
| cpe:2.3:a:hashicorp:vault:*:*:*:*:enterprise:*:*:* | 1.15.0 (incluyendo) | 1.15.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página