CVE-2026-5051
ŚrednieCVSS 4.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W systemach HashiCorp Vault i Vault Enterprise przed wersją 2.0.1, logika walidacji urządzeń audytu nie stosowała konsekwentnie ochrony katalogów wtyczek, gdy używano starszej opcji ścieżki pliku audytu. Luka ta została załatana w wersjach 2.0.1, 1.21.6, 1.20.11 oraz 1.19.17.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do danych audytowych lub manipulację nimi, co może prowadzić do naruszenia integralności dzienników i ukrycia niepożądanych działań.
Rekomendacja
Należy niezwłocznie zaktualizować HashiCorp Vault do jednej z załatanych wersji: 2.0.1, 1.21.6, 1.20.11 lub 1.19.17, oraz unikać używania starszej opcji ścieżki pliku audytu.
Oryginalny opis (angielski, źródło NVD)
HashiCorp Vault and Vault Enterprise prior to 2.0.1 audit device validation logic did not consistently apply plugin directory protections when the legacy file audit path option was used. This vulnerability (CVE-2026-5051) is fixed in 2.0.1, 1.21.6, 1.20.11, and 1.19.17.

