CVSS: 7.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32923
https://notcve.org/view.php?id=CVE-2021-32923
HashiCorp Vault and Vault Enterprise allowed the renewal of nearly-expired token leases and dynamic secret leases (specifically, those within 1 second of their maximum TTL), which caused them to be incorrectly treated as non-expiring during subsequent use. Fixed in 1.5.9, 1.6.5, and 1.7.2. HashiCorp Vault y Vault Enterprise permitían la renovación de los contratos de alquiler de tokens casi caducados y de los contratos de alquiler de secretos dinámicos (concretamente, los que estaban a menos de 1 segundo de su TTL máximo), lo que causó que sean incorrectamente tratados como no caducados durante su uso posterior. Corregido en versiones 1.5.9, 1.6.5 y 1.7.2 • https://discuss.hashicorp.com/t/hcsec-2021-15-vault-renewed-nearly-expired-leases-with-incorrect-non-expiring-ttls/24603 https://security.gentoo.org/glsa/202207-01 https://www.hashicorp.com/blog/category/vault • CWE-613: Insufficient Session Expiration •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-27400
https://notcve.org/view.php?id=CVE-2021-27400
HashiCorp Vault and Vault Enterprise Cassandra integrations (storage backend and database secrets engine plugin) did not validate TLS certificates when connecting to Cassandra clusters. Fixed in 1.6.4 and 1.7.1 Las integraciones de HashiCorp Vault y Vault Enterprise Cassandra (backend de almacenamiento y plugin del motor de secretos de la base de datos) no comprobaban los certificados TLS al conectarse a los clústeres de Cassandra. Corregido en 1.6.4 y 1.7.1 • https://discuss.hashicorp.com/t/hcsec-2021-10-vault-s-cassandra-integrations-did-not-validate-tls-certificates/23463 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-29653
https://notcve.org/view.php?id=CVE-2021-29653
HashiCorp Vault and Vault Enterprise 1.5.1 and newer, under certain circumstances, may exclude revoked but unexpired certificates from the CRL. Fixed in 1.5.8, 1.6.4, and 1.7.1. HashiCorp Vault y Vault Enterprise versiones 1.5.1 y posteriores, bajo determinadas circunstancias, pueden excluir certificados revocados pero no vencidos de la CRL. Corregido en versiones 1.5.8, 1.6.4 y 1.7.1 • https://discuss.hashicorp.com/t/hcsec-2021-09-vault-s-pki-engine-crl-may-exclude-revoked-but-unexpired-certificates-after-tidy/23461/2 • CWE-295: Improper Certificate Validation •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-3024
https://notcve.org/view.php?id=CVE-2021-3024
HashiCorp Vault and Vault Enterprise disclosed the internal IP address of the Vault node when responding to some invalid, unauthenticated HTTP requests. Fixed in 1.6.2 & 1.5.7. HashiCorp Vault y Vault Enterprise revelaron la dirección IP interna del nodo de Vault al responder a algunas peticiones HTTP no válidas y no autenticadas. Corregido en las versiones 1.6.2 y 1.5.7 • https://discuss.hashicorp.com/t/hcsec-2021-02-vault-api-endpoint-exposed-internal-ip-address-without-authentication/20334 https://security.gentoo.org/glsa/202207-01 •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25594
https://notcve.org/view.php?id=CVE-2020-25594
HashiCorp Vault and Vault Enterprise allowed for enumeration of Secrets Engine mount paths via unauthenticated HTTP requests. Fixed in 1.6.2 & 1.5.7. HashiCorp Vault y Vault Enterprise permitieron la enumeración de rutas de montaje de Secrets Engine por medio de peticiones HTTP no autenticadas. Corregido en las versiones 1.6.2 y 1.5.7 • https://discuss.hashicorp.com/t/hcsec-2021-03-vault-api-endpoint-allowed-enumeration-of-secrets-engine-mount-paths-without-authentication/20336 https://security.gentoo.org/glsa/202207-01 •