Una vulnerabilidad crítica de denegación de servicio en la bóveda de Hashicorp podría permitir a los actores maliciosos abrumar a los servidores con cargas útiles JSON especialmente elaboradas, lo que lleva a un consumo excesivo de recursos y la representación de instancias de bóveda sin respuesta.
Rastreado como CVE-2025-6203 y publicado el 28 de agosto de 2025, el defecto afecta tanto a Vault Community como a las ediciones empresariales desde la versión 1.15.0 hasta varios lanzamientos parchados.
Se insta a los operadores a actualizar a Vault 1.20.3 (comunidad y empresa), 1.19.9, 1.18.14 o 1.16.25 para mitigar el problema.
Vulnerabilidad de DOS basada en la memoria
Los dispositivos de auditoría de Vault son responsables de registrar cada interacción de solicitudes antes de completar la solicitud.
Un usuario malicioso puede enviar una carga útil que cumpla con el límite predeterminado MAX_REQUEST_SIZE (32 MIB por defecto) pero aprovecha las estructuras JSON profundamente anidadas o las entradas excesivas para forzar el uso extrema de CPU y memoria en la subrutina de auditoría.
A medida que el analizador JSON se repite a través de valores de cadena largos o en la entrada de objetos altos, los picos de consumo de memoria, desencadenando tiempos de espera y haciendo que el servidor de bóveda no responda.
Hashicorp ha introducido nuevas opciones de configuración del oyente para endurecer aún más la bóveda contra las cargas de JSON abusivas. El oyente TCP ahora se puede configurar con:
Max_json_depth: profundidad de anidación máxima para objetos JSON. max_json_string_value_length: longitud máxima para valores de cadena. max_json_object_entry_count: número máximo de pares de clave/valor en un objeto. max_json_array_element_count: elementos máximos en una matriz JSON.
Los operadores pueden encontrar guía detallada En la documentación de la API para los parámetros del oyente y la guía de actualización de bóveda.
Hashicorp reconoce a Darrell Bethea, Ph.D., de hecho por informar de manera responsable de esta vulnerabilidad.
Factores de riesgo Los productos afectados por la comunidad y Vault Enterprise 1.15.0 a 1.20.2, 1.19.8, 1.18.13 y 1.16.24Impactdenial of ServiceExploit Requisitos previos Acceso a las redes de trabajo al oyente de bóveda; Capacidad para enviar solicitudes de API HTTP con JSON PayOgSCVSS 3.1 puntaje 7.5 (alto).
Mitigaciones
Para remediar CVE-2025-6203, los clientes deben actualizarse a una de las versiones parcheadas: Vault Community Edition 1.20.3 o Vault Enterprise Editions 1.20.3, 1.19.9, 1.18.14 o 1.16.25.
La actualización habilitará los límites incorporados en la complejidad de la carga útil JSON, evitando la recursión excesiva que desencadena la negación del servicio.
También se alienta a los administradores a revisar su configuración MAX_REQUEST_SIZE y aplicar restricciones a nivel de oyente a JSON analizando como parte de una estrategia de defensa en profundidad.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
