CVE-2020-12757
https://notcve.org/view.php?id=CVE-2020-12757
HashiCorp Vault and Vault Enterprise 1.4.0 and 1.4.1, when configured with the GCP Secrets Engine, may incorrectly generate GCP Credentials with the default time-to-live lease duration instead of the engine-configured setting. This may lead to generated GCP credentials being valid for longer than intended. Fixed in 1.4.2. HashiCorp Vault y Vault Enterprise versión 1.4.0 y versión 1.4.1, cuando se configuran con el Motor de Secretos GCP, pueden generar incorrectamente Credenciales GCP con la duración de alquiler predeterminada en lugar de la configuración del motor. Esto puede llevar a que las credenciales de BPC generadas sean válidas durante más tiempo del previsto. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#142-may-21st-2020 https://www.hashicorp.com/blog/category/vault • CWE-269: Improper Privilege Management •
CVE-2020-13223
https://notcve.org/view.php?id=CVE-2020-13223
HashiCorp Vault and Vault Enterprise logged proxy environment variables that potentially included sensitive credentials. Fixed in 1.3.6 and 1.4.2. HashiCorp Vault y Vault Enterprise registraron variables de entorno proxy que incluían potencialmente credenciales sensibles. Fijado en las versiones 1.3.6 y 1.4.2 • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#142-may-21st-2020 https://www.hashicorp.com/blog/category/vault • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2020-10661
https://notcve.org/view.php?id=CVE-2020-10661
HashiCorp Vault and Vault Enterprise versions 0.11.0 through 1.3.3 may, under certain circumstances, have existing nested-path policies grant access to Namespaces created after-the-fact. Fixed in 1.3.4. HashiCorp Vault y Vault Enterprise versiones 0.11.0 hasta 1.3.3, pueden bajo determinadas circunstancias, presentar políticas de ruta anidadas existentes que otorguen acceso a unos Espacios de Nombres después de los datos creados. Corregido en versión 1.3.4. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#134-march-19th-2020 https://www.hashicorp.com/blog/category/vault •
CVE-2020-10660
https://notcve.org/view.php?id=CVE-2020-10660
HashiCorp Vault and Vault Enterprise versions 0.9.0 through 1.3.3 may, under certain circumstances, have an Entity's Group membership inadvertently include Groups the Entity no longer has permissions to. Fixed in 1.3.4. HashiCorp Vault y Vault Enterprise versiones 0.9.0 hasta 1.3.3, pueden bajo determinadas circunstancias, presentar una membresía Entity's Group que inadvertidamente incluye Grupos a los que la Entidad ya no tiene permiso. Corregido en 1.3.4. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#134-march-19th-2020 https://www.hashicorp.com/blog/category/vault • CWE-276: Incorrect Default Permissions •
CVE-2020-7220
https://notcve.org/view.php?id=CVE-2020-7220
HashiCorp Vault Enterprise 0.11.0 through 1.3.1 fails, in certain circumstances, to revoke dynamic secrets for a mount in a deleted namespace. Fixed in 1.3.2. HashiCorp Vault Enterprise versiones 0.11.0 hasta 1.3.1 presenta un fallo, en determinadas circunstancias, al revocar secretos dinámicos para un montaje en un espacio de nombres eliminado. Corregido en versión 1.3.2. • https://github.com/hashicorp/vault/blob/master/CHANGELOG.md#132-january-22nd-2020 https://www.hashicorp.com/blog/category/vault • CWE-404: Improper Resource Shutdown or Release •