关键信息 漏洞ID HCSEC-2025-30 影响的产品和版本 Vault Community Edition: 0.6.0 up to 1.20.4, fixed in 1.21.0 Vault Enterprise: 0.6.0 up to 1.20.4, 1.19.10, 1.18.15, and 1.16.26, fixed in 1.21.0, 1.20.5, 1.19.11, and 1.16.27 发布日期 October 23, 2025 漏洞概述 Vault 和 Vault Enterprise 的 AWS Auth 方法可能存在身份验证绕过漏洞,如果配置的绑定角色在多个 AWS 账户中相同或使用通配符。 背景 Vault 的 AWS Auth 方法提供了一种自动机制来为 IAM 主体和 AWS EC2 实例检索 Vault 令牌。逻辑检查 AWS 中 STS 角色的存在,但不验证 accountID,导致攻击者可以绕过此逻辑。 细节 Vault 的 AWS Auth 方法维护了一个活动 AWS 客户端的缓存,但在查询缓存时没有验证 accountID。如果 accountID 元数据仅在 bound_principal_arn 中引用了通配符,并且用户有活动会话,具有相同角色名(或基于通配符冲突)的不同账户中的攻击者可以进行身份验证。 类似的问题存在于 Vault 的 EC2 身份验证方法中,其中相应的缓存查找仅验证 ami_id 而不验证 account ID,可能导致跨账户特权升级。 修复措施 使用 Vault 的客户应评估与此问题相关的风险,并考虑升级到 Vault Community Edition 1.21.0 或 Vault Enterprise 1.21.0, 1.20.5, 1.19.11, 和 1.16.27。 查看 Vault 的升级文档以获取一般指导。 致谢 此问题由 Pavlos Karakalidis 报告给 HashiCorp。