Una vulnerabilidad crítica de seguridad Hashicorp que afecta a Vault Community Edition y versiones empresariales podría permitir a los operadores privilegiados ejecutar código arbitrario en los sistemas de host subyacentes.
La vulnerabilidad, rastreada como CVE-2025-6000, afecta las versiones de bóveda desde 0.8.0 hasta 1.20.0 y se ha parcheado en lanzamientos recientes.
Control de llave
1. CVE-2025-6000 permite a los operadores de bóveda privilegiado ejecutar código arbitrario.
2. Afecta las versiones de bóveda 0.8.0-1.20.0.
3. Las organizaciones deben actualizarse inmediatamente a versiones fijas.
El defecto de seguridad fue descubierto por Yarden Porat de Cyata Security y se informó a través de prácticas de divulgación responsables el 1 de agosto de 2025.
Vulnerabilidad de bóveda
La vulnerabilidad proviene de Una falla de diseño en la funcionalidad del dispositivo de auditoría de Vault que permite a los operadores maliciosos con permisos de escritura al punto final SYS/Auditoría explotar el mecanismo de dispositivo de auditoría de archivos.
Los dispositivos de auditoría sirven como componentes de registro completos que mantienen registros detallados de todas las solicitudes y respuestas de bóveda, incluidas las opciones configurables para prefijos por línea y especificaciones de ubicación de disco.
La vía de explotación implica aprovechar el dispositivo de auditoría de archivos de Vault para escribir archivos arbitrarios en ubicaciones de disco.
Cuando se combina con el registro de complementos y las capacidades de uso, esta funcionalidad crea una vía para la ejecución de código arbitrario en el sistema de host.
El ataque requiere que el operador tenga permisos de escritura al SYS/Auditoría dentro del espacio de nombres raíz de Vault, lo que hace que este sea una vulnerabilidad de escalada de privilegios en lugar de un vector de ataque externo.
La explotación técnica implica manipular los requisitos de resumen de SHA256 para la ejecución de archivos.
Mientras que los dispositivos de auditoría utilizan las claves HMAC por dispositivo para la integridad de los datos, los operadores maliciosos pueden reproducir potencialmente el contenido de archivo de auditoría y calcular los hash necesarios utilizando el punto final SYS/Audit-Hash.
Los complementos externos, que se ejecutan como aplicaciones independientes separadas que Vault se ejecuta a través de la comunicación RPC, se convierten en el vector de ejecución una vez que los archivos maliciosos se colocan correctamente y se registran.
Factores de riesgo DetetailS Affected Products: Vault Community Edition: 0.8.0- 1.20.0- Vault Enterprise: 0.8.0- 1.20.0, 1.19.6, 1.18.11, 1.16.22, 1.15.15ImpActARBitRary Código Executor de Código Executivo de Código Remoquenado: Acceso de Operador de Vault Priviled: Escribir Permissions a Sys/AuditalPoint- AuditalPoutploutPoit Prerequisites- Access de Operador de Avultado privilegiado- Escritura de accesorios de Operador de Audit de Sys/Auditinual de Código Rootinio. Configurado en VaultCVSS 3.1 Score9.1 (crítico)
Mitigaciones
Hashicorp ha implementado múltiples controles de seguridad para abordar esta vulnerabilidad en las líneas de productos afectadas.
La opción de prefijo para nuevos dispositivos de auditoría ahora está desactivado de forma predeterminada, lo que requiere una configuración explícita de TeakauditLogPrefixing establecido en True en los archivos de configuración de Vault.
Además, los destinos de registro de auditoría ya no pueden dirigirse a los directorios de complementos, eliminando la vía de ataque primario. Las versiones afectadas incluyen Vault Community Edition desde 0.8.0 a 1.20.0, con soluciones disponibles en la versión 1.20.1.
Los usuarios de Vault Enterprise deben actualizarse a las versiones 1.20.1, 1.19.7, 1.18.12 o 1.16.23, dependiendo de su implementación actual.
En particular, los entornos dedicados de HCP Vault no se ven afectados debido a su implementación de espacios de nombres administrativos, que proporcionan controles de aislamiento adicionales.
Las organizaciones deben priorizar el parcheo inmediato dada la naturaleza crítica de esta vulnerabilidad y el despliegue generalizado de las versiones de bóveda afectadas en los entornos de infraestructura empresarial.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
