漏洞信息
# 使用KV V2插件时,Vault可能在错误日志中包含敏感数据
## 漏洞概述
Vault Community和Vault Enterprise的Key/Value (kv) Version 2插件在处理用户提交的错误格式的负载进行密钥创建或更新操作时,可能会无意中泄漏敏感信息到服务器和审计日志中。此漏洞已识别为CVE-2025-4166。
## 影响版本
- Vault Community 1.19.3
- Vault Enterprise 1.19.3, 1.18.9, 1.17.16, 1.16.20
## 漏洞细节
当用户通过Vault REST API提交错误格式的负载进行密钥创建或更新操作时,Vault Community和Vault Enterprise的Key/Value (kv) Version 2插件可能会将敏感信息暴露到服务器和审计日志中。
## 影响
该漏洞可能会导致敏感信息泄漏,这些信息可能包含用户、密钥或其他敏感数据。这可能会导致数据泄露风险,威胁到系统的安全性和用户的隐私。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Vault May Include Sensitive Data in Error Logs When Using the KV v2 Plugin
漏洞描述信息
Vault Community and Vault Enterprise Key/Value (kv) Version 2 plugin may unintentionally expose sensitive information in server and audit logs when users submit malformed payloads during secret creation or update operations via the Vault REST API. This vulnerability, identified as CVE-2025-4166, is fixed in Vault Community 1.19.3 and Vault Enterprise 1.19.3, 1.18.9, 1.17.16, 1.16.20.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N
漏洞类别
通过错误消息导致的信息暴露
漏洞标题
HashiCorp Vault Enterprise和HashiCorp Vault Community 安全漏洞
漏洞描述信息
HashiCorp Vault Enterprise和HashiCorp Vault Community都是美国HashiCorp公司的产品。HashiCorp Vault Enterprise是一个企业信息归档平台。HashiCorp Vault Community是一款密钥管理引擎。用来集中存储集群运行过程中所需要的秘密信息。 HashiCorp Vault Enterprise和HashiCorp Vault Community存在安全漏洞,该漏洞源于处理畸形有效载荷时可能泄露敏感信息。
CVSS信息
N/A
漏洞类别
其他