一、 漏洞 CVE-2024-2877 基础信息
漏洞标题
当与性能备援节点一起部署时,Vault Enterprise将在审核日志中泄露敏感的HTTP请求标头。
来源:AIGC 神龙大模型
漏洞描述信息
当Vault Enterprise配置了性能备用节点和配置了审核设备时,会意外地在备用节点上记录请求头。这些日志可能包含明文的敏感HTTP请求信息。 这个漏洞,CVE-2024-2877,已在Vault Enterprise 1.15.8中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过日志文件的信息暴露
来源:AIGC 神龙大模型
漏洞标题
Vault Enterprise Leaks Sensitive HTTP Request Headers in the Audit Log When Deployed With a Performance Standby Node
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vault Enterprise, when configured with performance standby nodes and a configured audit device, will inadvertently log request headers on the standby node. These logs may have included sensitive HTTP request information in cleartext. This vulnerability, CVE-2024-2877, was fixed in Vault Enterprise 1.15.8.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
HashiCorp Vault Enterprise 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HashiCorp Vault Enterprise是美国HashiCorp公司的一个企业信息归档平台。可在所有通信平台上捕获信息--将信息从本地无缝迁移到云,并自动识别最相关的内容以确保法规遵从性。 HashiCorp Vault Enterprise 1.15.8之前版本存在安全漏洞,该漏洞源于在配置了性能备用节点和已配置的审核设备时,会无意中在备用节点上记录请求标头,这些日志可能包含明文形式的敏感 HTTP 请求信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-2877 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-2877 的情报信息