Informazioni sul CVE-2023-3462

Vault's LDAP Auth Method Allows for User Enumeration

CWE ID: CWE-203

Base Score (CVSS): N/A

CVE: CVE-2023-3462

Descrizione: HashiCorp’s Vault and Vault Enterprise are vulnerable to user enumeration when using the LDAP auth method. An attacker may submit requests of existent and non-existent LDAP users and observe the response from Vault to check if the account is valid on the LDAP server. This vulnerability is fixed in Vault 1.14.1 and 1.13.5.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 5.3 (Medium)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: None, Disponibilità: None.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	N	None	Non sono richiesti privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	L	Low	Impatto limitato.
Integrity Impact (I)	N	None	Nessun impatto sull’integrità.
Availability Impact (A)	N	None	Nessun impatto sulla disponibilità.

Riferimenti esterni

https://discuss.hashicorp.com/t/hcsec-2023-24-vaults-ldap-auth-method-allows-for-user-enumeration/56714

Prodotti interessati

HashiCorp – Vault
HashiCorp – Vault Enterprise

Relazioni con altri prodotti

Produttore:HashiCorp
Prodotto: Vault
Anno: 2023
CWE: CWE-203
CVSS: 0.0

Produttore:HashiCorp
Prodotto: Vault Enterprise
Anno: 2023
CWE: CWE-203
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2023)