CVSS: 4.4EPSS: 0%CPEs: 2EXPL: 0CVE-2021-38553 – Gentoo Linux Security Advisory 202207-01
https://notcve.org/view.php?id=CVE-2021-38553
13 Aug 2021 — HashiCorp Vault and Vault Enterprise 1.4.0 through 1.7.3 initialized an underlying database file associated with the Integrated Storage feature with excessively broad filesystem permissions. Fixed in Vault and Vault Enterprise 1.8.0. HashiCorp Vault y Vault Enterprise versiones 1.4.0 hasta 1.7.3, inicializaban un archivo de base de datos subyacente asociado con la funcionalidad Integrated Storage con permisos de sistema de archivos excesivamente amplios. Corregido en Vault y Vault Enterprise versión 1.8.0. ... • https://discuss.hashicorp.com/t/hcsec-2021-20-vault-s-integrated-storage-backend-database-file-may-have-excessively-broad-permissions/28168 • CWE-281: Improper Preservation of Permissions •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-38554 – Gentoo Linux Security Advisory 202207-01
https://notcve.org/view.php?id=CVE-2021-38554
13 Aug 2021 — HashiCorp Vault and Vault Enterprise’s UI erroneously cached and exposed user-viewed secrets between sessions in a single shared browser. Fixed in 1.8.0 and pending 1.7.4 / 1.6.6 releases. La interfaz de usuario de HashiCorp Vault y Vault Enterprise almacenaba erróneamente en caché y exponía los secretos visualizados por el usuario entre sesiones en un mismo navegador compartido. Corregido en versión 1.8.0 y en versiones pendientes 1.7.4 / 1.6.6. Multiple vulnerabilities have been discovered in HashiCorp Va... • https://discuss.hashicorp.com/t/hcsec-2021-19-vault-s-ui-cached-user-viewed-secrets-between-shared-browser-sessions/28166 • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36230
https://notcve.org/view.php?id=CVE-2021-36230
20 Jul 2021 — HashiCorp Terraform Enterprise releases up to v202106-1 did not properly perform authorization checks on a subset of API requests executed using the run token, allowing privilege escalation to organization owner. Fixed in v202107-1. HashiCorp Terraform Enterprise versiones hasta v202106-1, no llevaban a cabo apropiadamente las comprobaciones de autorización en un subconjunto de peticiones de la API ejecutadas mediante el token de ejecución, permitiendo una elevación de privilegios al propietario de la organ... • https://discuss.hashicorp.com/t/hcsec-2021-18-terraform-enterprise-allowed-privilege-escalation-via-run-token/27070 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-36213 – Gentoo Linux Security Advisory 202208-09
https://notcve.org/view.php?id=CVE-2021-36213
17 Jul 2021 — HashiCorp Consul and Consul Enterprise 1.9.0 through 1.10.0 default deny policy with a single L7 application-aware intention deny action cancels out, causing the intention to incorrectly fail open, allowing L4 traffic. Fixed in 1.9.8 and 1.10.1. La política de denegación por defecto de HashiCorp Consul y Consul Enterprise desde la versión 1.9.0 hasta la version 1.10.0 con una única acción de denegación de intención consciente de la aplicación L7 se anula, lo que provoca que la intención falle incorrectament... • https://discuss.hashicorp.com/t/hcsec-2021-16-consul-s-application-aware-intentions-deny-action-fails-open-when-combined-with-default-deny-policy/26855 •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32574 – Gentoo Linux Security Advisory 202208-09
https://notcve.org/view.php?id=CVE-2021-32574
17 Jul 2021 — HashiCorp Consul and Consul Enterprise 1.3.0 through 1.10.0 Envoy proxy TLS configuration does not validate destination service identity in the encoded subject alternative name. Fixed in 1.8.14, 1.9.8, and 1.10.1. HashiCorp Consul y Consul Enterprise versión 1.3.0 hasta la versión 1.10.0 La configuración del proxy TLS de Envoy no valida la identidad del servicio de destino en el nombre alternativo del asunto codificado. Corregido en las versiones 1.8.14, 1.9.8 y 1.10.1 Multiple vulnerabilities have been dis... • https://discuss.hashicorp.com/t/hcsec-2021-17-consul-s-envoy-tls-configuration-did-not-validate-destination-service-subject-alternative-names/26856 • CWE-295: Improper Certificate Validation •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-32575
https://notcve.org/view.php?id=CVE-2021-32575
17 Jun 2021 — HashiCorp Nomad and Nomad Enterprise up to version 1.0.4 bridge networking mode allows ARP spoofing from other bridged tasks on the same node. Fixed in 0.12.12, 1.0.5, and 1.1.0 RC1. HashiCorp Nomad y Nomad Enterprise versiones hasta 1.0.4, el modo de red bridge permite la suplantación de ARP desde otras tareas de bridged en el mismo nodo. Corregido en versiones 0.12.12, 1.0.5 y 1.1.0 RC1 • https://discuss.hashicorp.com/t/hcsec-2021-14-nomad-bridge-networking-mode-allows-arp-spoofing-from-other-bridged-tasks-on-same-node/24296 •
CVSS: 7.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32923 – Gentoo Linux Security Advisory 202207-01
https://notcve.org/view.php?id=CVE-2021-32923
03 Jun 2021 — HashiCorp Vault and Vault Enterprise allowed the renewal of nearly-expired token leases and dynamic secret leases (specifically, those within 1 second of their maximum TTL), which caused them to be incorrectly treated as non-expiring during subsequent use. Fixed in 1.5.9, 1.6.5, and 1.7.2. HashiCorp Vault y Vault Enterprise permitían la renovación de los contratos de alquiler de tokens casi caducados y de los contratos de alquiler de secretos dinámicos (concretamente, los que estaban a menos de 1 segundo de... • https://discuss.hashicorp.com/t/hcsec-2021-15-vault-renewed-nearly-expired-leases-with-incorrect-non-expiring-ttls/24603 • CWE-613: Insufficient Session Expiration •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32074
https://notcve.org/view.php?id=CVE-2021-32074
07 May 2021 — HashiCorp vault-action (aka Vault GitHub Action) before 2.2.0 allows attackers to obtain sensitive information from log files because a multi-line secret was not correctly registered with GitHub Actions for log masking. HashiCorp vault-action (también se conoce como Vault GitHub Action) versiones anteriores a 2.2.0, permite a atacantes conseguir información confidencial de archivos de registro porque un secreto de múltiples líneas no fue registrado correctamente con GitHub Actions para el enmascaramiento de... • https://discuss.hashicorp.com/t/hcsec-2021-13-vault-github-action-did-not-correctly-mask-multi-line-secrets-in-output/24128 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-27400
https://notcve.org/view.php?id=CVE-2021-27400
22 Apr 2021 — HashiCorp Vault and Vault Enterprise Cassandra integrations (storage backend and database secrets engine plugin) did not validate TLS certificates when connecting to Cassandra clusters. Fixed in 1.6.4 and 1.7.1 Las integraciones de HashiCorp Vault y Vault Enterprise Cassandra (backend de almacenamiento y plugin del motor de secretos de la base de datos) no comprobaban los certificados TLS al conectarse a los clústeres de Cassandra. Corregido en 1.6.4 y 1.7.1 • https://discuss.hashicorp.com/t/hcsec-2021-10-vault-s-cassandra-integrations-did-not-validate-tls-certificates/23463 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-29653
https://notcve.org/view.php?id=CVE-2021-29653
22 Apr 2021 — HashiCorp Vault and Vault Enterprise 1.5.1 and newer, under certain circumstances, may exclude revoked but unexpired certificates from the CRL. Fixed in 1.5.8, 1.6.4, and 1.7.1. HashiCorp Vault y Vault Enterprise versiones 1.5.1 y posteriores, bajo determinadas circunstancias, pueden excluir certificados revocados pero no vencidos de la CRL. Corregido en versiones 1.5.8, 1.6.4 y 1.7.1 • https://discuss.hashicorp.com/t/hcsec-2021-09-vault-s-pki-engine-crl-may-exclude-revoked-but-unexpired-certificates-after-tidy/23461/2 • CWE-295: Improper Certificate Validation •