一、 漏洞 CVE-2023-6337 基础信息
漏洞标题
在处理大型HTTP请求时,Vault可能通过内存耗尽陷入服务拒绝状态
来源:AIGC 神龙大模型
漏洞描述信息
HashiCorp Vault 和 Vault Enterprise 1.12.0 及更高版本在处理客户端提交的大未验证和已验证的 HTTP 请求时,可能导致拒绝服务攻击。Vault 会尝试将请求映射到内存,导致主机可用内存的耗尽,可能导致 Vault 崩溃。 已修复在 Vault 1.15.4、1.14.8、1.13.12 版本中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
Vault May be Vulnerable to a Denial of Service Through Memory Exhaustion When Handling Large HTTP Requests
来源:美国国家漏洞数据库 NVD
漏洞描述信息
HashiCorp Vault and Vault Enterprise 1.12.0 and newer are vulnerable to a denial of service through memory exhaustion of the host when handling large unauthenticated and authenticated HTTP requests from a client. Vault will attempt to map the request to memory, resulting in the exhaustion of available memory on the host, which may cause Vault to crash. Fixed in Vault 1.15.4, 1.14.8, 1.13.12.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
HashiCorp Vault 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HashiCorp Vault是美国HashiCorp公司的一款私钥访问管理工具。 HashiCorp Vault、Vault Enterprise 1.12.0 及之前、1.15.4之前、1.14.8之前、1.13.12之前版本存在安全漏洞,该漏洞源于在处理来自客户端的大量未经身份验证和经过身份验证的 HTTP 请求时,Vault会将请求映射到内存,从而导致内存耗尽,导致崩溃。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-6337 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-6337 的情报信息