CVSS: 8.2EPSS: 0%CPEs: 8EXPL: 0CVE-2020-16251 – vault: GCP Auth Method Allows Authentication Bypass
https://notcve.org/view.php?id=CVE-2020-16251
26 Aug 2020 — HashiCorp Vault and Vault Enterprise versions 0.8.3 and newer, when configured with the GCP GCE auth method, may be vulnerable to authentication bypass. Fixed in 1.2.5, 1.3.8, 1.4.4, and 1.5.1. HashiCorp Vault y Vault Enterprise versiones 0.8.3 y posteriores, cuando son configuradas con el método de autenticación GCP GCE, pueden ser vulnerables a una omisión de autenticación. Corregido en las versiones 1.2.5, 1.3.8, 1.4.4 y 1.5.1 A flaw was found in Vault and Vault Enterprise (“Vault”). In affected versions... • http://packetstormsecurity.com/files/159479/Hashicorp-Vault-GCP-IAM-Integration-Authentication-Bypass.html • CWE-287: Improper Authentication •
CVSS: 8.2EPSS: 0%CPEs: 8EXPL: 0CVE-2020-16250 – vault: Hashicorp Vault AWS IAM Integration Authentication Bypass
https://notcve.org/view.php?id=CVE-2020-16250
26 Aug 2020 — HashiCorp Vault and Vault Enterprise versions 0.7.1 and newer, when configured with the AWS IAM auth method, may be vulnerable to authentication bypass. Fixed in 1.2.5, 1.3.8, 1.4.4, and 1.5.1.. HashiCorp Vault y Vault Enterprise versiones 0.7.1 y posteriores, cuando son configuradas con el método de autenticación AWS IAM, pueden ser vulnerables a una omisión de autenticación. Corregido en 1.2.5, 1.3.8, 1.4.4 y 1.5.1.. A flaw was found in Vault and Vault Enterprise (“Vault”). • http://packetstormsecurity.com/files/159478/Hashicorp-Vault-AWS-IAM-Integration-Authentication-Bypass.html • CWE-290: Authentication Bypass by Spoofing CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-24359
https://notcve.org/view.php?id=CVE-2020-24359
20 Aug 2020 — HashiCorp vault-ssh-helper up to and including version 0.1.6 incorrectly accepted Vault-issued SSH OTPs for the subnet in which a host's network interface was located, rather than the specific IP address assigned to that interface. Fixed in 0.2.0. HashiCorp vault-ssh-helper versiones hasta 0.1.6 incluyéndola, aceptó incorrectamente OTPs SSH Vault-issued para la subred en la que se encontraba la interfaz de red del host, en lugar de la dirección IP específica asignada a esa interfaz. Corregido en la versión ... • https://github.com/hashicorp/vault-ssh-helper/blob/master/CHANGELOG.md#020-august-19-2020 • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15511
https://notcve.org/view.php?id=CVE-2020-15511
30 Jul 2020 — HashiCorp Terraform Enterprise up to v202006-1 contained a default signup page that allowed user registration even when disabled, bypassing SAML enforcement. Fixed in v202007-1. HashiCorp Terraform Enterprise versiones hasta v202006-1, contenía una página de registro predeterminada que permitía el registro del usuario incluso cuando estaba deshabilitada, omitiendo la aplicación de SAML. Corregido en la versión v202007-1 • https://github.com/hashicorp/terraform-enterprise-release-notes/blob/master/v202007-1.md •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-13170
https://notcve.org/view.php?id=CVE-2020-13170
11 Jun 2020 — HashiCorp Consul and Consul Enterprise did not appropriately enforce scope for local tokens issued by a primary data center, where replication to a secondary data center was not enabled. Introduced in 1.4.0, fixed in 1.6.6 and 1.7.4. HashiCorp Consul y Consul Enterprise, no aplicaron apropiadamente el alcance de los tokens locales emitidos por un centro de datos primario, donde lo replicación a un centro de datos secundario que no estaba habilitado. Introducido en la versión 1.4.0, corregido en las versione... • https://github.com/hashicorp/consul/blob/v1.6.6/CHANGELOG.md • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-12797
https://notcve.org/view.php?id=CVE-2020-12797
11 Jun 2020 — HashiCorp Consul and Consul Enterprise failed to enforce changes to legacy ACL token rules due to non-propagation to secondary data centers. Introduced in 1.4.0, fixed in 1.6.6 and 1.7.4. HashiCorp Consul y Consul Enterprise, presentaron un fallo al aplicar cambios a las reglas de token de las ACL heredadas debido a la no propagación a centros de datos secundarios. Introducido en la versión 1.4.0, corregido en las versiones 1.6.6 y 1.7.4 • https://github.com/hashicorp/consul/blob/v1.6.6/CHANGELOG.md •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-12758
https://notcve.org/view.php?id=CVE-2020-12758
11 Jun 2020 — HashiCorp Consul and Consul Enterprise could crash when configured with an abnormally-formed service-router entry. Introduced in 1.6.0, fixed in 1.6.6 and 1.7.4. HashiCorp Consul y Consul Enterprise, podrían bloquearse cuando son configurados con una entrada del enrutador de servicio anormalmente formada. Introducido en la versión 1.6.0, corregido en las versiones 1.6.6 y 1.7.4 • https://github.com/hashicorp/consul/blob/v1.6.6/CHANGELOG.md • CWE-404: Improper Resource Shutdown or Release •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-13250
https://notcve.org/view.php?id=CVE-2020-13250
11 Jun 2020 — HashiCorp Consul and Consul Enterprise include an HTTP API (introduced in 1.2.0) and DNS (introduced in 1.4.3) caching feature that was vulnerable to denial of service. Fixed in 1.6.6 and 1.7.4. HashiCorp Consul y Consul Enterprise, incluyen una funcionalidad de caché de HTTP API (introducida en la versión 1.2.0) y DNS (introducida en la versión 1.4.3), que era vulnerable a una denegación de servicio. Corregido en las versiones 1.6.6 y 1.7.4 • https://github.com/hashicorp/consul/blob/v1.6.6/CHANGELOG.md • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2020-12757
https://notcve.org/view.php?id=CVE-2020-12757
10 Jun 2020 — HashiCorp Vault and Vault Enterprise 1.4.0 and 1.4.1, when configured with the GCP Secrets Engine, may incorrectly generate GCP Credentials with the default time-to-live lease duration instead of the engine-configured setting. This may lead to generated GCP credentials being valid for longer than intended. Fixed in 1.4.2. HashiCorp Vault y Vault Enterprise versión 1.4.0 y versión 1.4.1, cuando se configuran con el Motor de Secretos GCP, pueden generar incorrectamente Credenciales GCP con la duración de alqu... • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#142-may-21st-2020 • CWE-269: Improper Privilege Management •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-13223
https://notcve.org/view.php?id=CVE-2020-13223
10 Jun 2020 — HashiCorp Vault and Vault Enterprise logged proxy environment variables that potentially included sensitive credentials. Fixed in 1.3.6 and 1.4.2. HashiCorp Vault y Vault Enterprise registraron variables de entorno proxy que incluían potencialmente credenciales sensibles. Fijado en las versiones 1.3.6 y 1.4.2 • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#142-may-21st-2020 • CWE-532: Insertion of Sensitive Information into Log File •