1. 墨知首页
  2. 漏洞

HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

漏洞
漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危
MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具
在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Enterprise 入站客户端请求可能导致无限制地消耗内存。攻击者可以向Vault服务器发送大量的入站客户端请求,造成拒绝服务攻击。
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/hashicorp/vault (-∞, 1.13.10) 更新 将组件 github.com/hashicorp/vault 升级到 1.13.10 或更高版本
github.com/hashicorp/vault [1.14.0, 1.14.6) 更新 将组件 github.com/hashicorp/vault 升级到 1.14.6 或更高版本
github.com/hashicorp/vault [1.15.0, 1.15.2) 更新 将组件 github.com/hashicorp/vault 升级到 1.15.2 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5zl0-enty

https://github.com/advisories/GHSA-4qhc-v8r6-8vwm

https://nvd.nist.gov/vuln/detail/CVE-2023-5954

https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

(0)
上一篇 2023年11月9日 下午8:00
下一篇 2023年11月10日 下午12:00

相关推荐

  • mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

    漏洞类型 代码注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度 广 漏洞危害 OSCS 描述 mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。 mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未…

    漏洞 2024年4月15日
    0
  • NPM组件 @angular_devkit/core 等窃取主机敏感信息 漏洞

    NPM组件 @angular_devkit/core 等窃取主机敏感信息

    【高危】NPM组件 @angular_devkit/core 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/core 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-1jf5-s6ix 处置建议 强烈建议修复 发现时间 2025-08-14 投毒仓库 npm…

    2025年8月21日
    0
  • NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞

    NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息

    【高危】NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @amiga-fwk-nodejs/log 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-l8r3-kn1o 处置建议 强烈建议修复 发现时间 2025-08-13 …

    2025年8月13日
    0
  • Apache Airflow Hive Provider Beeline 远程代码执行漏洞 (CVE-2023-35797)[有POC] 漏洞

    Apache Airflow Hive Provider Beeline 远程代码执行漏洞 (CVE-2023-35797)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/2 漏洞等级 高危 MPS编号 MPS-gyzv-dxst CVE编号 CVE-2023-35797 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow Hive Provider 是 Apache Airflow 与 Apache Hive 集成的插件。Beeline 是 Hive 客户端与服务器进行交互…

    2023年8月30日
    0
  • NGINX ngx_mail_smtp_module 内存越界读取漏洞 漏洞

    NGINX ngx_mail_smtp_module 内存越界读取漏洞

    【中危】NGINX ngx_mail_smtp_module 内存越界读取漏洞 漏洞描述 NGINX是一个开源的、高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器。它被广泛应用于构建高并发、高可用的Web服务。受影响版本中,当NGINX配置了ngx_mail_smtp_module模块,并且smtp_auth指令设置为no…

    2025年8月21日
    0