1. 墨知首页
  2. 漏洞

HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

漏洞
漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危
MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具
在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Enterprise 入站客户端请求可能导致无限制地消耗内存。攻击者可以向Vault服务器发送大量的入站客户端请求,造成拒绝服务攻击。
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/hashicorp/vault (-∞, 1.13.10) 更新 将组件 github.com/hashicorp/vault 升级到 1.13.10 或更高版本
github.com/hashicorp/vault [1.14.0, 1.14.6) 更新 将组件 github.com/hashicorp/vault 升级到 1.14.6 或更高版本
github.com/hashicorp/vault [1.15.0, 1.15.2) 更新 将组件 github.com/hashicorp/vault 升级到 1.15.2 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5zl0-enty

https://github.com/advisories/GHSA-4qhc-v8r6-8vwm

https://nvd.nist.gov/vuln/detail/CVE-2023-5954

https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

(0)
上一篇 2023年11月9日 下午8:00
下一篇 2023年11月10日 下午12:00

相关推荐

  • Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164) 漏洞

    Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164)

    漏洞类型 对外部实体的文件或目录可访问 发现时间 2023-12-07 漏洞等级 严重 MPS编号 MPS-5qa9-hjgt CVE编号 CVE-2023-50164 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Struts是美国阿帕奇(Apache)基金会的开源Web项目,是一套用于创建企业级Java Web应用的开源MVC框架。 在受影响…

    2023年12月8日
    0
  • NPM组件 textlocal-messenger 等窃取主机敏感信息 漏洞

    NPM组件 textlocal-messenger 等窃取主机敏感信息

    【高危】NPM组件 textlocal-messenger 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 textlocal-messenger 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-axvb-j3o1 处置建议 强烈建议修复 发现时间 2025-07-08 投毒仓库…

    2025年7月9日
    0
  • Adobe Acrobat Reader 代码执行漏洞 (CVE-2023-26369) 漏洞

    Adobe Acrobat Reader 代码执行漏洞 (CVE-2023-26369)

    漏洞类型 输入验证不恰当 发现时间 2023-09-13 漏洞等级 高危 MPS编号 MPS-2023-5421 CVE编号 CVE-2023-26369 漏洞影响广度 广 漏洞危害 OSCS 描述 Adobe Acrobat Reader 是用于打开和使用在 Adobe Acrobat 中创建的 Adobe PDF 的工具。 在Adobe Acrobat …

    2023年9月14日
    0
  • Ingress-nginx permanent-redirect 代码注入漏洞 (CVE-2023-5044) 漏洞

    Ingress-nginx permanent-redirect 代码注入漏洞 (CVE-2023-5044)

    漏洞类型 输入验证不恰当 发现时间 2023-10-26 漏洞等级 高危 MPS编号 MPS-x92s-3wj5 CVE编号 CVE-2023-5044 漏洞影响广度 一般 漏洞危害 OSCS 描述 Ingress-nginx是一个用于Kubernetes的Ingress控制器,使用NGINX作为反向代理和负载均衡器。当对NGINX原语进行注入时,能成功绕过…

    2023年10月26日
    0
  • Spring Kafka 反序列化漏洞 (CVE-2023-34040) 漏洞

    Spring Kafka 反序列化漏洞 (CVE-2023-34040)

    漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危 MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度 小 漏洞危害 OSCS 描述 Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录…

    2023年8月25日
    0