<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: HashiCorp (Vault/Terraform/Consul)</title>
    <link>https://feed.xonatec.ch/produkte/hashicorp-vault-terraform-consul</link>
    <description>Priorisierte Schwachstellen-Reports für HashiCorp (Vault/Terraform/Consul). Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/hashicorp-vault-terraform-consul.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2026-33646 — mise: Codeausführung über .tool-versions durch registrierte exec()-Funktion der Tera-Template-Engine</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33646</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33646</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der Entwickler-Toolmanager mise verwaltet Werkzeuge wie node, python, cmake und terraform. Vor Version 2026.3.10 verarbeitet mise .tool-versions-Dateien beim Parsen durch die Tera-Template-Engine, bei der die Funktion exec() registriert ist. Damit kann bereits das Einlesen einer fremden Projektdatei zur Ausführung von Befehlen führen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.7 %. Empfohlene Massnahme: auf mise 2026.3.10 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.7%

Betroffene Produkte: node-js, python, hashicorp-vault-terraform-consul</description>
      <category>Kritisch</category><category>Node.js</category><category>Python</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-45169 — Idira Privileged Access Manager (PAM) Self-Hosted Vault: Validierungsschwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45169</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45169</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Idira Privileged Access Manager (PAM) Self-Hosted Vault in Versionen vor 15.0.3, 14.6.5, 14.2.7 und 14.0.8 weist laut Quelle eine Validierungsschwachstelle auf, die unter bestimmten Umständen und Konfigurationen auftritt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf eine der fehlerbereinigten Versionen aktualisieren.

Severity: Hoch · CVSS: 8.6 · EPSS: 0.4%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-5807 — HashiCorp Vault: Denial-of-Service durch Blockierung von Root-Token-Generierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5807</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5807</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In HashiCorp Vault kann ein nicht authentifizierter Angreifer durch wiederholtes Initiieren oder Abbrechen von Root-Token-Generierungs- oder Rekey-Operationen den einzigen laufenden Vorgang blockieren und so einen Denial-of-Service verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-0875 — Autodesk: Out-of-Bounds Write über manipulierte MODEL-Datei</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0875</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0875</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Beim Parsen einer manipulierten MODEL-Datei durch bestimmte Autodesk-Produkte kann eine Out-of-Bounds-Write-Schwachstelle ausgelöst werden. Ein Angreifer kann dies nutzen, um einen Absturz zu verursachen oder möglicherweise weiteren Schadcode auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-0874 — Autodesk: Out-of-Bounds Write über manipulierte CATPART-Datei</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0874</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0874</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Beim Parsen einer manipulierten CATPART-Datei durch bestimmte Autodesk-Produkte kann eine Out-of-Bounds-Write-Schwachstelle ausgelöst werden. Ein Angreifer kann dies nutzen, um einen Absturz zu verursachen oder möglicherweise weiteren Schadcode auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-25499 — Terraform/OpenTofu Proxmox Provider: Unsichere Sudoer-Konfiguration ermöglicht Privilegieneskalation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25499</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25499</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Terraform- bzw. OpenTofu-Provider für Proxmox Virtual Environment enthält die SSH-Konfigurationsdokumentation vor Version 0.93.1 eine unsichere Sudoer-Zeile, die eine Privilegieneskalation ermöglichen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-4525 — HashiCorp Vault: Vault-Token-Weiterleitung bei Auth-Mount mit Authorization-Header</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4525</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4525</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Wenn ein Vault-Auth-Mount so konfiguriert ist, dass der „Authorization”-Header weitergeleitet wird und dieser Header zur Authentifizierung gegenüber Vault verwendet wird, leitet Vault den Vault-Token an das Auth-Plugin zurück. Dies kann zu einem unbeabsichtigten Informationsabfluss führen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-3605 — HashiCorp Vault: Unbefugtes Löschen von Secrets über KVv2-Glob-Richtlinie</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3605</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3605</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein authentifizierter Benutzer mit Zugriff auf einen KVv2-Pfad über eine Richtlinie mit Glob-Muster kann möglicherweise Secrets löschen, für die er keine Lese- oder Schreibberechtigung besitzt, was zu einem Denial-of-Service führen kann. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.0%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Hoch</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-11419 — Altium Enterprise Server Vault Service – Path Traversal im UploadController</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11419</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11419</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im UploadController des Altium Enterprise Server Vault Service besteht eine Path-Traversal-Schwachstelle, weil ein benutzergesteuerter Pfadbestandteil in Bild-Upload-Anfragen unzureichend validiert wird. Laut Quelldaten kann ein authentifizierter Angreifer die Lücke ausnutzen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Mittel · EPSS: 0.4%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Mittel</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-11414 — CVE-2026-11414 – Fest codierter kryptografischer Schlüssel signiert Datei-Download-URLs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11414</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11414</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Laut Quellbeschreibung verwendet der Vault-Dienst von Altium Enterprise Server einen fest einprogrammierten kryptografischen Schlüssel, um Datei-Download-URLs zu signieren. Da der Schlüssel über alle Installationen hinweg identisch ist, kann ein nicht authentifizierter Angreifer im Netzwerk ihn missbrauchen; weitergehende Details sind in den Quelldaten nicht belegt. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Mittel · EPSS: 0.1%

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Mittel</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
    <item>
      <title>CVE-2026-14504 — Nexus Repository 3 – Autorisierungsumgehung in der Upload-API</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-14504</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-14504</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Nexus Repository 3 erlaubte eine Autorisierungsumgehung in der Upload-API für Komponenten einem Benutzer mit lediglich Lese-/Browse-Rechten auf ein gehostetes Swift-, Terraform- oder Conda-Repository, beliebige Artefakte hochzuladen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: bereitgestellte Sicherheitsupdates des Herstellers beobachten und nach Verfügbarkeit einspielen.

Severity: Mittel

Betroffene Produkte: hashicorp-vault-terraform-consul</description>
      <category>Mittel</category><category>HashiCorp (Vault/Terraform/Consul)</category>
    </item>
  </channel>
</rss>
