HashiCorp Vault漏洞允许攻击者无需有效凭证进行身份验证
在HashiCorp的Vault Terraform Provider中发现了一个严重的安全漏洞,可能允许攻击者绕过身份验证,无需有效凭证即可访问Vault。
该漏洞被追踪为CVE-2025-13357,影响使用LDAP身份验证的Vault组织。此安全问题源于Vault Terraform Provider中的错误默认配置。
具体来说,该提供商为LDAP身份验证方法将deny_null_bind参数默认设置为false。
HashiCorp Vault漏洞详情
这种错误配置造成了危险的安全缺口,因为底层LDAP服务器允许未经身份验证的连接。
当被利用时,此漏洞允许威胁行为者无需提供合法凭证即可对Vault进行身份验证。
这种身份验证绕过对在Vault中存储敏感密钥、加密密钥和其他关键数据的组织构成了重大风险。
漏洞影响范围
| CVE ID | 受影响产品 | 受影响版本 | 影响 |
|---|---|---|---|
| CVE-2025-13357 | Vault Terraform Provider | v4.2.0 至 v5.4.0 | 身份验证绕过 |
修复措施
HashiCorp已发布修复程序解决此漏洞。组织应采取以下行动:
- 更新至Vault Terraform Provider v5.5.0,该版本正确地将
deny_null_bind参数默认设置为true - 升级至Vault Community Edition 1.21.1或Vault Enterprise版本1.21.1、1.20.6、1.19.12或1.16.28
- 确保在LDAP身份验证方法配置中明确将
deny_null_bind参数设置为true
使用旧版本提供商的组织应在其Terraform文件中明确设置此参数,并立即应用更改。
修补后的Vault版本不再接受空密码字符串,有效防止通过身份验证方法进行未经身份验证的LDAP连接。
HashiCorp已宣布将在未来版本中移除此过时参数。此漏洞由第三方研究人员发现并负责任地披露给HashiCorp。
使用LDAP身份验证的Vault组织应优先应用这些安全更新,以保护其基础设施免受潜在利用。