Informazioni sul CVE-2023-0620

Vault Vulnerable to SQL Injection When Configuring the Microsoft SQL Database Storage Backend

CWE ID: CWE-89

Base Score (CVSS): N/A

CVE: CVE-2023-0620

Descrizione: HashiCorp Vault and Vault Enterprise versions 0.8.0 through 1.13.1 are vulnerable to an SQL injection attack when configuring the Microsoft SQL (MSSQL) Database Storage Backend. When configuring the MSSQL plugin through the local, certain parameters are not sanitized when passed to the user-provided MSSQL database. An attacker may modify these parameters to execute a malicious SQL command. This issue is fixed in versions 1.13.1, 1.12.5, and 1.11.9.

Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 6.5 (Medium)

Riassunto: Accesso: Local, Privilegi: High, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) L Local L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC) L Low L’attacco non richiede condizioni particolari.
Privileges Required (PR) H High Richiede privilegi elevati.
User Interaction (UI) R Required È richiesta l’interazione di un utente.
Scope (S) U Unchanged Il raggio d’azione non cambia.
Confidentiality Impact (C) H High Grave impatto sulla riservatezza.
Integrity Impact (I) H High Grave impatto sull’integrità.
Availability Impact (A) H High Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

  • HashiCorp – Vault
  • HashiCorp – Vault Enterprise

Relazioni con altri prodotti

Produttore:HashiCorp
Prodotto: Vault
Anno: 2023
CWE: CWE-89
CVSS: 0.0

Produttore:HashiCorp
Prodotto: Vault Enterprise
Anno: 2023
CWE: CWE-89
CVSS: 0.0

Ulteriori risorse disponibili