1.5
Server-Software, Middleware, Web

HashiCorp (Vault/Terraform/Consul)

Server-Software, Middleware, Web

HashiCorp (Vault/Terraform/Consul) gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht HashiCorp (Vault/Terraform/Consul) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

11
Reports
0
Aktiv ausgenutzt
Kritisch
Höchste Priorität
0.7%
Max. EPSS

Schwachstellen-Reports

11 Reports

Zeige 1 bis 11 von 11

  1. mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine

    CVE-2026-33646 Kritisch

    Der Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.

    CVSS: 9.6 EPSS: 0.69% Publiziert: Referenz: NVD
  2. Idira Privileged Access Manager (PAM) Self-Hosted Vault: Validierungsschwachstelle

    CVE-2026-45169 Hoch

    Idira Privileged Access Manager (PAM) Self-Hosted Vault in Versionen vor 15.0.3, 14.6.5, 14.2.7 und 14.0.8 weist laut Quelle eine Validierungsschwachstelle auf, die unter bestimmten Umständen und Konfigurationen auftritt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine der fehlerbereinigten Versionen aktualisieren.

    CVSS: 8.6 EPSS: 0.35% Publiziert: Referenz: NVD
  3. HashiCorp Vault: Denial-of-Service durch Blockierung von Root-Token-Generierung

    CVE-2026-5807 Hoch

    In HashiCorp Vault kann ein nicht authentifizierter Angreifer durch wiederholtes Initiieren oder Abbrechen von Root-Token-Generierungs- oder Rekey-Operationen den einzigen laufenden Vorgang blockieren und so einen Denial-of-Service verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  4. Autodesk: Out-of-Bounds Write über manipulierte CATPART-Datei

    CVE-2026-0874 Hoch

    Beim Parsen einer manipulierten CATPART-Datei durch bestimmte Autodesk-Produkte kann eine Out-of-Bounds-Write-Schwachstelle ausgelöst werden. Ein Angreifer kann dies nutzen, um einen Absturz zu verursachen oder möglicherweise weiteren Schadcode auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD
  5. Autodesk: Out-of-Bounds Write über manipulierte MODEL-Datei

    CVE-2026-0875 Hoch

    Beim Parsen einer manipulierten MODEL-Datei durch bestimmte Autodesk-Produkte kann eine Out-of-Bounds-Write-Schwachstelle ausgelöst werden. Ein Angreifer kann dies nutzen, um einen Absturz zu verursachen oder möglicherweise weiteren Schadcode auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.04% Publiziert: Referenz: NVD
  6. Terraform/OpenTofu Proxmox Provider: Unsichere Sudoer-Konfiguration ermöglicht Privilegieneskalation

    CVE-2026-25499 Hoch

    Im Terraform- bzw. OpenTofu-Provider für Proxmox Virtual Environment enthält die SSH-Konfigurationsdokumentation vor Version 0.93.1 eine unsichere Sudoer-Zeile, die eine Privilegieneskalation ermöglichen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  7. HashiCorp Vault: Vault-Token-Weiterleitung bei Auth-Mount mit Authorization-Header

    CVE-2026-4525 Hoch

    Wenn ein Vault-Auth-Mount so konfiguriert ist, dass der „Authorization”-Header weitergeleitet wird und dieser Header zur Authentifizierung gegenüber Vault verwendet wird, leitet Vault den Vault-Token an das Auth-Plugin zurück. Dies kann zu einem unbeabsichtigten Informationsabfluss führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.03% Publiziert: Referenz: NVD
  8. HashiCorp Vault: Unbefugtes Löschen von Secrets über KVv2-Glob-Richtlinie

    CVE-2026-3605 Hoch

    Ein authentifizierter Benutzer mit Zugriff auf einen KVv2-Pfad über eine Richtlinie mit Glob-Muster kann möglicherweise Secrets löschen, für die er keine Lese- oder Schreibberechtigung besitzt, was zu einem Denial-of-Service führen kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.1 EPSS: 0.02% Publiziert: Referenz: NVD
  9. Altium Enterprise Server Vault Service – Path Traversal im UploadController

    CVE-2026-11419 Mittel

    Im UploadController des Altium Enterprise Server Vault Service besteht eine Path-Traversal-Schwachstelle, weil ein benutzergesteuerter Pfadbestandteil in Bild-Upload-Anfragen unzureichend validiert wird. Laut Quelldaten kann ein authentifizierter Angreifer die Lücke ausnutzen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    EPSS: 0.42% Publiziert: Referenz: NVD
  10. CVE-2026-11414 – Fest codierter kryptografischer Schlüssel signiert Datei-Download-URLs

    CVE-2026-11414 Mittel

    Laut Quellbeschreibung verwendet der Vault-Dienst von Altium Enterprise Server einen fest einprogrammierten kryptografischen Schlüssel, um Datei-Download-URLs zu signieren. Da der Schlüssel über alle Installationen hinweg identisch ist, kann ein nicht authentifizierter Angreifer im Netzwerk ihn missbrauchen; weitergehende Details sind in den Quelldaten nicht belegt. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    EPSS: 0.08% Publiziert: Referenz: NVD
  11. Nexus Repository 3 – Autorisierungsumgehung in der Upload-API

    CVE-2026-14504 Mittel

    In Nexus Repository 3 erlaubte eine Autorisierungsumgehung in der Upload-API für Komponenten einem Benutzer mit lediglich Lese-/Browse-Rechten auf ein gehostetes Swift-, Terraform- oder Conda-Repository, beliebige Artefakte hochzuladen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: bereitgestellte Sicherheitsupdates des Herstellers beobachten und nach Verfügbarkeit einspielen.

    Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für HashiCorp (Vault/Terraform/Consul), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog