HashiCorp (Vault/Terraform/Consul)
HashiCorp (Vault/Terraform/Consul) gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht HashiCorp (Vault/Terraform/Consul) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
11 ReportsZeige 1 bis 11 von 11
-
mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine
CVE-2026-33646 KritischDer Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.
CVSS: 9.6 EPSS: 0.69% Publiziert: Referenz: NVD -
Idira Privileged Access Manager (PAM) Self-Hosted Vault: Validierungsschwachstelle
CVE-2026-45169 HochIdira Privileged Access Manager (PAM) Self-Hosted Vault in Versionen vor 15.0.3, 14.6.5, 14.2.7 und 14.0.8 weist laut Quelle eine Validierungsschwachstelle auf, die unter bestimmten Umständen und Konfigurationen auftritt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine der fehlerbereinigten Versionen aktualisieren.
CVSS: 8.6 EPSS: 0.35% Publiziert: Referenz: NVD -
HashiCorp Vault: Denial-of-Service durch Blockierung von Root-Token-Generierung
CVE-2026-5807 HochIn HashiCorp Vault kann ein nicht authentifizierter Angreifer durch wiederholtes Initiieren oder Abbrechen von Root-Token-Generierungs- oder Rekey-Operationen den einzigen laufenden Vorgang blockieren und so einen Denial-of-Service verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
Autodesk: Out-of-Bounds Write über manipulierte CATPART-Datei
CVE-2026-0874 HochBeim Parsen einer manipulierten CATPART-Datei durch bestimmte Autodesk-Produkte kann eine Out-of-Bounds-Write-Schwachstelle ausgelöst werden. Ein Angreifer kann dies nutzen, um einen Absturz zu verursachen oder möglicherweise weiteren Schadcode auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Autodesk: Out-of-Bounds Write über manipulierte MODEL-Datei
CVE-2026-0875 HochBeim Parsen einer manipulierten MODEL-Datei durch bestimmte Autodesk-Produkte kann eine Out-of-Bounds-Write-Schwachstelle ausgelöst werden. Ein Angreifer kann dies nutzen, um einen Absturz zu verursachen oder möglicherweise weiteren Schadcode auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD -
Terraform/OpenTofu Proxmox Provider: Unsichere Sudoer-Konfiguration ermöglicht Privilegieneskalation
CVE-2026-25499 HochIm Terraform- bzw. OpenTofu-Provider für Proxmox Virtual Environment enthält die SSH-Konfigurationsdokumentation vor Version 0.93.1 eine unsichere Sudoer-Zeile, die eine Privilegieneskalation ermöglichen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
HashiCorp Vault: Vault-Token-Weiterleitung bei Auth-Mount mit Authorization-Header
CVE-2026-4525 HochWenn ein Vault-Auth-Mount so konfiguriert ist, dass der „Authorization”-Header weitergeleitet wird und dieser Header zur Authentifizierung gegenüber Vault verwendet wird, leitet Vault den Vault-Token an das Auth-Plugin zurück. Dies kann zu einem unbeabsichtigten Informationsabfluss führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD -
HashiCorp Vault: Unbefugtes Löschen von Secrets über KVv2-Glob-Richtlinie
CVE-2026-3605 HochEin authentifizierter Benutzer mit Zugriff auf einen KVv2-Pfad über eine Richtlinie mit Glob-Muster kann möglicherweise Secrets löschen, für die er keine Lese- oder Schreibberechtigung besitzt, was zu einem Denial-of-Service führen kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD -
Altium Enterprise Server Vault Service – Path Traversal im UploadController
CVE-2026-11419 MittelIm UploadController des Altium Enterprise Server Vault Service besteht eine Path-Traversal-Schwachstelle, weil ein benutzergesteuerter Pfadbestandteil in Bild-Upload-Anfragen unzureichend validiert wird. Laut Quelldaten kann ein authentifizierter Angreifer die Lücke ausnutzen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
EPSS: 0.42% Publiziert: Referenz: NVD -
CVE-2026-11414 – Fest codierter kryptografischer Schlüssel signiert Datei-Download-URLs
CVE-2026-11414 MittelLaut Quellbeschreibung verwendet der Vault-Dienst von Altium Enterprise Server einen fest einprogrammierten kryptografischen Schlüssel, um Datei-Download-URLs zu signieren. Da der Schlüssel über alle Installationen hinweg identisch ist, kann ein nicht authentifizierter Angreifer im Netzwerk ihn missbrauchen; weitergehende Details sind in den Quelldaten nicht belegt. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
EPSS: 0.08% Publiziert: Referenz: NVD -
Nexus Repository 3 – Autorisierungsumgehung in der Upload-API
CVE-2026-14504 MittelIn Nexus Repository 3 erlaubte eine Autorisierungsumgehung in der Upload-API für Komponenten einem Benutzer mit lediglich Lese-/Browse-Rechten auf ein gehostetes Swift-, Terraform- oder Conda-Repository, beliebige Artefakte hochzuladen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: bereitgestellte Sicherheitsupdates des Herstellers beobachten und nach Verfügbarkeit einspielen.
Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für HashiCorp (Vault/Terraform/Consul), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.