CRITICAL🇬🇧 English

CVE-2025-6000

HashiCorp Vault: RCE przez uprzywilejowanego operatora via sys/audit

CVSS 9.1v3.1pub. 2025-08-01upd. 2025-08-13

Podatność w HashiCorp Vault umożliwia uprzywilejowanemu operatorowi z uprawnieniami zapisu do ścieżki sys/audit uzyskanie wykonania kodu (RCE) na hoście, na którym działa Vault. Zagrożenie jest krytyczne, ponieważ pozwala na pełne przejęcie kontroli nad serwerem bazowym.

Pokaż oryginał (EN)

A privileged Vault operator within the root namespace with write permission to {{sys/audit}} may obtain code execution on the underlying host if a plugin directory is set in Vault’s configuration. Fixed in Vault Community Edition 1.20.1 and Vault Enterprise 1.20.1, 1.19.7, 1.18.12, and 1.16.23.

🤖 Analiza AI
Jak działa

Atak wymaga posiadania konta operatora w głównej przestrzeni nazw (root namespace) z uprawnieniami zapisu do endpointu sys/audit. Jeśli w konfiguracji Vault ustawiony jest katalog wtyczek (plugin directory), atakujący może poprzez odpowiednio spreparowane żądanie do sys/audit doprowadzić do wykonania dowolnego kodu na poziomie systemu operacyjnego hosta. Mechanizm podatności klasyfikowany jest jako code injection (CWE-94), co oznacza możliwość wstrzyknięcia i uruchomienia złośliwego kodu.

Skutki

Atakujący może uzyskać wykonanie dowolnego kodu na hoście z uprawnieniami procesu Vault, co w praktyce oznacza pełne przejęcie kontroli nad serwerem, możliwość eksfiltracji sekretów oraz dalszy lateral movement w infrastrukturze.

Mitygacja

Należy zaktualizować do wersji Vault Community Edition 1.20.1 lub odpowiednio Vault Enterprise 1.20.1, 1.19.7, 1.18.12 albo 1.16.23. Dodatkowo, jako środek tymczasowy, warto zweryfikować i ograniczyć liczbę kont z uprawnieniami zapisu do sys/audit w root namespace oraz rozważyć usunięcie konfiguracji plugin directory, jeśli nie jest wymagana.

Kogo dotyczy

HashiCorp Vault Community Edition oraz Vault Enterprise — wszystkie wersje przed 1.20.1 (Community Edition), a także Enterprise w wersjach przed 1.20.1, 1.19.7, 1.18.12 i 1.16.23, pod warunkiem że w konfiguracji ustawiony jest katalog wtyczek (plugin directory).

Uwagi

Podatność wymaga wysokich uprawnień (PR:H) — konta operatora w root namespace z prawem zapisu do sys/audit — co ogranicza powierzchnię ataku, jednak zakres C:H/I:H/A:H przy zmianie kontekstu (S:C) uzasadnia ocenę CVSS 9.1. Szczegóły opublikowane przez HashiCorp pod adresem HCSEC-2025-14.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Hashicorp Vault

    APP
    Hashicorp
    1.20.00.8.0 – 1.16.23 (bez)0.8.0 – 1.20.1 (bez)1.17.0 – 1.18.12 (bez)1.19.0 – 1.19.7 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2022-40186CRITICAL9.1ten sam produkt

An issue was discovered in HashiCorp Vault and Vault Enterprise before 1.11.3. A vulnerability in the Identity...

CVE-2022-36129CRITICAL9.1ten sam produkt

HashiCorp Vault Enterprise 1.7.0 through 1.9.7, 1.10.4, and 1.11.0 clusters using Integrated Storage expose an...

CVE-2020-35192CRITICAL9.8ten sam produkt

The official vault docker images before 0.11.6 contain a blank password for a root user. System using the vaul...

CVE-2020-12757CRITICAL9.8ten sam produkt

HashiCorp Vault and Vault Enterprise 1.4.0 and 1.4.1, when configured with the GCP Secrets Engine, may incorre...

CVE-2020-10661CRITICAL9.1ten sam produkt

HashiCorp Vault and Vault Enterprise versions 0.11.0 through 1.3.3 may, under certain circumstances, have exis...