CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-3024
https://notcve.org/view.php?id=CVE-2021-3024
HashiCorp Vault and Vault Enterprise disclosed the internal IP address of the Vault node when responding to some invalid, unauthenticated HTTP requests. Fixed in 1.6.2 & 1.5.7. HashiCorp Vault y Vault Enterprise revelaron la dirección IP interna del nodo de Vault al responder a algunas peticiones HTTP no válidas y no autenticadas. Corregido en las versiones 1.6.2 y 1.5.7 • https://discuss.hashicorp.com/t/hcsec-2021-02-vault-api-endpoint-exposed-internal-ip-address-without-authentication/20334 https://security.gentoo.org/glsa/202207-01 •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25594
https://notcve.org/view.php?id=CVE-2020-25594
HashiCorp Vault and Vault Enterprise allowed for enumeration of Secrets Engine mount paths via unauthenticated HTTP requests. Fixed in 1.6.2 & 1.5.7. HashiCorp Vault y Vault Enterprise permitieron la enumeración de rutas de montaje de Secrets Engine por medio de peticiones HTTP no autenticadas. Corregido en las versiones 1.6.2 y 1.5.7 • https://discuss.hashicorp.com/t/hcsec-2021-03-vault-api-endpoint-allowed-enumeration-of-secrets-engine-mount-paths-without-authentication/20336 https://security.gentoo.org/glsa/202207-01 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-3282
https://notcve.org/view.php?id=CVE-2021-3282
HashiCorp Vault Enterprise 1.6.0 & 1.6.1 allowed the `remove-peer` raft operator command to be executed against DR secondaries without authentication. Fixed in 1.6.2. HashiCorp Vault Enterprise versiones 1.6.0 y 1.6.1, permitieron que el comando del operador raft "remove-peer" sea ejecutado contra los secundarios de DR sin autenticación. Corregido en la versión 1.6.2 • https://discuss.hashicorp.com/t/hcsec-2021-04-vault-enterprise-s-dr-secondaries-allowed-raft-peer-removal-without-authentication/20337 https://security.gentoo.org/glsa/202207-01 • CWE-287: Improper Authentication •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-35453
https://notcve.org/view.php?id=CVE-2020-35453
HashiCorp Vault Enterprise’s Sentinel EGP policy feature incorrectly allowed requests to be processed in parent and sibling namespaces. Fixed in 1.5.6 and 1.6.1. La funcionalidad de la política Sentinel EGP de HashiCorp Vault Enterprise, permitía incorrectamente peticiones a ser procesadas en los espacios de nombres de parent y sibling. Corregido en versiones 1.5.6 y 1.6.1 • https://discuss.hashicorp.com/t/hcsec-2020-24-vault-enterprise-s-sentinel-egp-policies-may-impact-parent-or-sibling-namespaces/18983 https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#161 •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-35177
https://notcve.org/view.php?id=CVE-2020-35177
HashiCorp Vault and Vault Enterprise 1.4.1 and newer allowed the enumeration of users via the LDAP auth method. Fixed in 1.5.6 and 1.6.1. HashiCorp Vault y Vault Enterprise 1.4.1 y más recientes permitieron la enumeración de usuarios por medio del método de autenticación LDAP. Corregido en versiones 1.5.6 y 1.6.1 • https://discuss.hashicorp.com/t/hcsec-2020-25-vault-s-ldap-auth-method-allows-user-enumeration/18984 https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#161 • CWE-209: Generation of Error Message Containing Sensitive Information •