V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2025-6014
ANC
Средний

Механизм TOTP Secrets Engine в Vault и Vault Enterprise (“Vault”) имеет уязвимость, связанную с повторным использованием кода в пределах пе…

CVSS
6.5
Средний
EPSS
0.00
p25
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Механизм TOTP Secrets Engine в Vault и Vault Enterprise (“Vault”) имеет уязвимость, связанную с повторным использованием кода в пределах периода его действия [1]. Проблема исправлена в Vault Community Edition 1.20.1 и Vault Enterprise 1.20.1, 1.19.7, 1.18.12 и 1.16.23. Кэш использованных кодов TOTP не нормализовал записи, что позволяло злоумышленникам повторно использовать существующие коды путем добавления пробелов. Теперь Vault строго проверяет длину кода TOTP на основе настроенной длины ключа. Клиентам рекомендуется обновить свои системы до указанных версий для устранения уязвимости. Источники: - [1] https://discuss.hashicorp.com/t/hcsec-2025-17-vault-totp-secrets-engine-code-reuse/76036

Теги · CWE
CWE-156
Затронутые продукты
Vault < 1.16.23Vault < 1.20.1Vault 1.17.0–1.18.12Vault 1.19.0–1.19.7Vault
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.003 · p25
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Hashicorp
VaultVault Enterprise
ПродуктВендорСтатус
Отслеживается
Отслеживается
vault*Отслеживается
Источники данных
ANC
CVE
Связанные уязвимости
BDU:2025-11261