一、 漏洞 CVE-2024-8365 基础信息
漏洞标题
库特泄露审核日志中的AppRole客户端令牌和访问者
来源:AIGC 神龙大模型
漏洞描述信息
Vault 社区版和 Vault 企业版经历了一个回归,其中在配置的审核设备中对敏感头进行了 HMAC 加密的功能,特别是客户端令牌和令牌访问器,被移除了。这导致客户端令牌和平行访问器的明文值被存储在审计日志中。此漏洞,CVE-2024-8365,已在 Vault 社区版和 Vault 企业版 1.17.5 及 Vault 企业版 1.16.9 中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过日志文件的信息暴露
来源:AIGC 神龙大模型
漏洞标题
Vault Leaks AppRole Client Tokens And Accessor in Audit Log
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vault Community Edition and Vault Enterprise experienced a regression where functionality that HMAC’d sensitive headers in the configured audit device, specifically client tokens and token accessors, was removed. This resulted in the plaintext values of client tokens and token accessors being stored in the audit log. This vulnerability, CVE-2024-8365, was fixed in Vault Community Edition and Vault Enterprise 1.17.5 and Vault Enterprise 1.16.9.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
HashiCorp Vault Community Edition和HashiCorp Vault Enterprise 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HashiCorp Vault Enterprise和HashiCorp Vault Community Edition都是美国HashiCorp公司的产品。HashiCorp Vault Enterprise是一个企业信息归档平台。HashiCorp Vault Community Edition是一款密钥管理引擎。用来集中存储集群运行过程中所需要的秘密信息。 HashiCorp Vault Community Edition 1.17.5版本和HashiCorp Vault Enterprise 1.
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8365 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-8365 的情报信息