一、 漏洞 CVE-2025-12044 基础信息
漏洞信息
# Vault 基于速率限制的拒绝服务漏洞
## 概述
Vault 及其企业版(Vault Enterprise)存在一个**未经身份验证的拒绝服务(DoS)漏洞**(CVE-2025-12044),该漏洞由于处理 JSON 负载时未进行速率限制,导致攻击者可通过精心构造的 JSON 数据引发服务不可用。
## 影响版本
- **Vault Community Edition** < 1.21.0
- **Vault Enterprise** < 1.16.27、< 1.19.11、< 1.20.5、< 1.21.0
## 细节
此漏洞是由于修复 CVE-2025-24 后的**回归问题**,导致在 JSON 负载的解析过程中,未能在处理前应用速率限制。攻击者可以发送复杂的 JSON 请求,在不进行认证的前提下使系统资源耗尽,从而引发拒绝服务。
## 影响
未经身份验证的远程攻击者可通过发送特制 JSON 数据绕过速率限制,导致系统资源被大量占用,最终造成服务中断或不可用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Vault Vulnerable to Denial of Service Due to Rate Limit Regression
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vault and Vault Enterprise (“Vault”) are vulnerable to an unauthenticated denial of service when processing JSON payloads. This occurs due to a regression from a previous fix for [+HCSEC-2025-24+|https://discuss.hashicorp.com/t/hcsec-2025-24-vault-denial-of-service-though-complex-json-payloads/76393] which allowed for processing JSON payloads before applying rate limits. This vulnerability, CVE-2025-12044, is fixed in Vault Community Edition 1.21.0 and Vault Enterprise 1.16.27, 1.19.11, 1.20.5, and 1.21.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
HashiCorp Vault Enterprise 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HashiCorp Vault Enterprise是美国HashiCorp公司的一个企业信息归档平台。 HashiCorp Vault Enterprise存在安全漏洞,该漏洞源于在处理JSON有效载荷时未应用速率限制,可能导致拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-12044 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-12044 的情报信息
-
标题: HCSEC-2025-31- Vault Vulnerable to Denial of Service Due to Rate Limit Regression - Security - HashiCorp Discuss -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-12044
四、漏洞 CVE-2025-12044 的评论
暂无评论