Informazioni sul CVE-2024-2048

Vault Cert Auth Method Did Not Correctly Validate Non-CA Certificates

CWE ID: CWE-295

Base Score (CVSS): N/A

CVE: CVE-2024-2048

Descrizione: Vault e Vault Enterprise (“Vault”) il metodo di autenticazione TLS non ha correttamente validato i certificati client quando configurato con un certificato non CA considerato di fiducia. In questa configurazione, un attaccante potrebbe essere in grado di creare un certificato malevolo che potrebbe essere utilizzato per aggirare l’autenticazione. Corretto in Vault 1.15.5 e 1.14.10.

Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 8.1 (High)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	H	High	L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR)	N	None	Non sono richiesti privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

HashiCorp – Vault
HashiCorp – Vault Enterprise

Relazioni con altri prodotti

Produttore:HashiCorp
Prodotto: Vault
Anno: 2024
CWE: CWE-295
CVSS: 0.0

Produttore:HashiCorp
Prodotto: Vault Enterprise
Anno: 2024
CWE: CWE-295
CVSS: 0.0