CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-3153
https://notcve.org/view.php?id=CVE-2021-3153
HashiCorp Terraform Enterprise up to v202102-2 failed to enforce an organization-level setting that required users within an organization to have two-factor authentication enabled. Fixed in v202103-1. HashiCorp Terraform Enterpriha sidosta v202102-2 no logró aplicar una configuración a nivel de organización que requerían usuarios dentro de una organización para tener habilitada la autenticación de dos factores. Corregido en la versión v202103-1. • https://discuss.hashicorp.com/t/hcsec-2021-06-terraform-enterprise-organization-level-mfa-requirement-was-not-enforced/22401 • CWE-287: Improper Authentication •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-3024
https://notcve.org/view.php?id=CVE-2021-3024
HashiCorp Vault and Vault Enterprise disclosed the internal IP address of the Vault node when responding to some invalid, unauthenticated HTTP requests. Fixed in 1.6.2 & 1.5.7. HashiCorp Vault y Vault Enterprise revelaron la dirección IP interna del nodo de Vault al responder a algunas peticiones HTTP no válidas y no autenticadas. Corregido en las versiones 1.6.2 y 1.5.7 • https://discuss.hashicorp.com/t/hcsec-2021-02-vault-api-endpoint-exposed-internal-ip-address-without-authentication/20334 https://security.gentoo.org/glsa/202207-01 •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25594
https://notcve.org/view.php?id=CVE-2020-25594
HashiCorp Vault and Vault Enterprise allowed for enumeration of Secrets Engine mount paths via unauthenticated HTTP requests. Fixed in 1.6.2 & 1.5.7. HashiCorp Vault y Vault Enterprise permitieron la enumeración de rutas de montaje de Secrets Engine por medio de peticiones HTTP no autenticadas. Corregido en las versiones 1.6.2 y 1.5.7 • https://discuss.hashicorp.com/t/hcsec-2021-03-vault-api-endpoint-allowed-enumeration-of-secrets-engine-mount-paths-without-authentication/20336 https://security.gentoo.org/glsa/202207-01 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-3282
https://notcve.org/view.php?id=CVE-2021-3282
HashiCorp Vault Enterprise 1.6.0 & 1.6.1 allowed the `remove-peer` raft operator command to be executed against DR secondaries without authentication. Fixed in 1.6.2. HashiCorp Vault Enterprise versiones 1.6.0 y 1.6.1, permitieron que el comando del operador raft "remove-peer" sea ejecutado contra los secundarios de DR sin autenticación. Corregido en la versión 1.6.2 • https://discuss.hashicorp.com/t/hcsec-2021-04-vault-enterprise-s-dr-secondaries-allowed-raft-peer-removal-without-authentication/20337 https://security.gentoo.org/glsa/202207-01 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-3283
https://notcve.org/view.php?id=CVE-2021-3283
HashiCorp Nomad and Nomad Enterprise up to 0.12.9 exec and java task drivers can access processes associated with other tasks on the same node. Fixed in 0.12.10, and 1.0.3. HashiCorp Nomad y Nomad Enterprise versiones hasta 0.12.9, exec y los controladores de tareas de Java pueden acceder a los procesos asociados con otras tareas en el mismo nodo. Corregido en las versiones 0.12.10 y 1.0.3 • https://discuss.hashicorp.com/t/hcsec-2021-01-nomad-s-exec-and-java-task-drivers-did-not-isolate-processes/20332 •