HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials
2025/11/25 CyberSecurityNews — HashiCorp の Vault Terraform Provider に重大なセキュリティ上の欠陥が発見された。この脆弱性を悪用する攻撃者は、有効な認証情報を必要とせずに認証をバイパスし、Vault にアクセスする機会を得る。この脆弱性 CVE-2025-13357 は、Vault の Terraform プロバイダーにおける誤ったデフォルト・コンフィグに起因し、Vault で LDAP 認証を使用する組織に影響を及ぼす。具体的に言うと、LDAP 認証方式の deny_null_bind パラメータが、デフォルトで false にコンフィグされていたことに原因がある。
Continue reading “HashiCorp Vault の脆弱性 CVE-2025-13357:認証情報なしで Vault に不正アクセス”Critical HashiCorp Vault Vulnerabilities Allow Authentication Bypass and DoS Attacks
2025/10/27 gbhackers — HashiCorp が公表したのは、Vault/Vault Enterprise に存在する2件の深刻な脆弱性 CVE-2025-12044/CVE-2025-11621 である。これらを悪用する攻撃者は認証を回避し、インフラに対してサービス拒否 (DoS) 攻撃を仕掛ける恐れがある。これらの欠陥は、広く利用されているシークレット管理ソリューションに新たなリスクをもたらしており、影響を受ける組織には迅速な対応が求められている。脅威アクターが悪用した場合、CPU およびメモリ・リソースを大量に消費し、Vault サービスの停止やシステム全体のクラッシュを引き起こす可能性がある。
Continue reading “HashiCorp Vault の脆弱性 CVE-2025-12044/11621 が FIX:懸念される AWS アカウントへの影響”HashiCorp Vault Vulnerability Let Attackers to Crash Servers
2025/09/02 CyberSecurityNews — HashiCorp Vault に存在する、深刻なサービス拒否 (DoS) 脆弱性が明らかになった。この脆弱性を悪用する攻撃者は、細工した JSON ペイロードを用いてサーバを過負荷状態に陥らせ、過剰なリソース消費を引き起こし、Vault インスタンスを応答不能にするとされる。2025年8月28日に公開された、この脆弱性 CVE-2025-6203 が影響を及ぼす範囲は、Vault Community/Enterprise エディションのバージョン 1.15.0 以降における、複数のパッチ・リリースまでとなる。
Continue reading “HashiCorp Vault の脆弱性 CVE-2025-6203 が FIX:深刻なサービス拒否 (DoS) の可能性”HashiCorp Vault 0-Day Vulnerabilities Let Attackers Execute Remote Code
2025/08/07 CyberSecurityNews — 広く採用されている秘密情報のための管理ソリューションで HashiCorp Vault に、複数のゼロデイ脆弱性が存在していることが、2025年8月の初旬にセキュリティ研究者たちにより明らかにされた。これらの脆弱性が引き起こす、認証バイパス/ポリシー適用の不整合/監査ログの悪用などにより、End-to-End の攻撃経路が形成され、最終的には Vault サーバ上でのリモートコード実行 (RCE) にいたるという。
Continue reading “HashiCorp Vault の複数の脆弱性が FIX:ロジックの不一致が引き起こす深刻な結果とは?”https://gbhackers.com/apache-airflow-misconfigurations-leak-login-credentials/
2025/03/06 gbhackers —Apache Airflow のミスコンフィグに関する最近の調査により、ログイン認証情報/API キー/クラウド・サービスのアクセス・トークンなどを攻撃者に対して露出する、深刻な脆弱性の存在が明らかになった。このワークフロー・プラットフォームにおけるミスコンフィグの主な原因は、安全が確保されないコーディング手法や、古いバージョンの使用などにあり、金融/医療/e コマース業界などでの、データ・セキュリティ侵害につながるものだ。つまり、AWS/Slack/PayPal の認証情報や、内部データベースの認証情報が、適切に保護されていない状態になっていた。
Continue reading “Apache Airflow のミスコンフィグ:認証情報の漏洩と AWS/Slack/PayPal などへの影響”CVE-2024-9180: HashiCorp Vault Vulnerability Could Lead to Privilege Escalation
2024/10/12 SecurityOnline — HashiCorp が発表したのは、同社の機密管理プラットフォームである Vault に存在する、脆弱性 CVE-2024-9180 (CVSSv3:7.2) に関するセキュリティ情報である。この脆弱性の悪用に成功した攻撃者は、きわめて機密性の高いルート・ポリシーへと、自身の権限を昇格させる可能性を得る。
Continue reading “HashiCorp Vault の脆弱性 CVE-2024-9180 が FIX:特権昇格の可能性”HashiCorp Vault Flaw (CVE-2024-7594): Unrestricted SSH Access Threatens System Security
2024/09/26 SecurityOnline — インフラストラクチャ自動化ソフトウェアの大手プロバイダーである HashiCorp は、同社のシークレット管理ツール Vault の脆弱性に関する、重要なセキュリティ・アドバイザリを発行した。脆弱性 CVE-2024-7594 (CVSS:7.7) は、Vault Community および Enterprise Edition の、バージョン 1.7.7 〜 1.17.5 に影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、標的システムに対する無制限の SSH アクセスが許可されるため、重要なインフラにおけるデータ侵害/サービス中断/不正制御の可能性を手にする。
Continue reading “HashiCorp Vault の脆弱性 CVE-2024-7594 が FIX:無制限の SSH アクセスが発生”CVE-2024-2048: HashiCorp’s Vault Vulnerability Puts Secrets at Risk
2024/03/05 SecurityOnline — 機密データを安全に管理するツールとして人気の高い HashiCorp の Vault には、認証を回避した攻撃者に対して、組織の最も貴重なシークレットへの不正アクセスを許す、脆弱性 CVE-2024-2048 (CVSS:8.1) が存在する。
Continue reading “HashiCorp Vault の脆弱性 CVE-2024-2048 が FIX:機密情報の侵害のおそれ”
IoT OT Security News 