ГлавнаяБаза уязвимостей БДУ → BDU:2025-08603
7.1высокая

BDU:2025-08603 (CVE-2024-7594)

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise, связанная с неправильным назначением разрешений для критического ресурса, позволяющая нарушителю обойти процесс аутентификации
Опубликовано: 2025-07-17
Описание

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с неправильным назначением разрешений для критического ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации

Затрагиваемое ПО и версии
openSUSE TumbleweedРЕД ОС (7.3)Red Hat Openshift Container Storage (4)Vault (от 1.17.0 до 1.17.6)Vault Enterprise (до 1.15.15)Vault Enterprise (от 1.16.0 до 1.16.10)Vault Enterprise (от 1.17.0 до 1.17.6)
Способ устранения

Использование рекомендаций:
https://discuss.hashicorp.com/t/hcsec-2024-20-vault-ssh-secrets-engine-configuration-did-not-restrict-valid-principals-by-default/70251
https://security.netapp.com/advisory/ntap-20250110-0007/

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-vault-cve-2024-7594/?sphrase_id=1076696

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-7594

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-7594.html

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://discuss.hashicorp.com/t/hcsec-2024-20-vault-ssh-secrets-engine-configuration-did-not-restrict-valid-principals-by-default/70251https://security.netapp.com/advisory/ntap-20250110-0007/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-vault-cve-2024-7594/?sphrase_id=1076696https://access.redhat.com/security/cve/CVE-2024-7594https://www.suse.com/security/cve/CVE-2024-7594.html
Проверьте безопасность своего сайта и почты → Полная проверка домена