製品・ソフトウェアに関する情報

JVN脆弱性詳細

HashiCorpのVaultにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性

Title	HashiCorpのVaultにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性
Summary	グロブを含むポリシーを介してkvv2パスにアクセスできる認証済みユーザーは、読み取りまたは書き込みの権限を持たないシークレットを削除できる可能性があり、その結果サービス拒否（DoS）を引き起こす可能性があります。この脆弱性によって悪意のあるユーザーが名前空間を越えてシークレットを削除したり、シークレットのデータを読み取ったりすることはできません。本問題はVault Community Edition 2.0.0およびVault Enterprise 2.0.0、1.21.5、1.20.10、1.19.16で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 17, 2026, midnight
Registration Date	April 27, 2026, 11:19 a.m.
Last Update	April 27, 2026, 11:19 a.m.

Affected System

HashiCorp

Vault 0.10.0 以上 1.19.16 未満

Vault 0.10.0 以上 2.0.0 未満

Vault 1.20.0 以上 1.20.10 未満

Vault 1.21.0 以上 1.21.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-3605	https://www.cve.org/CVERecord?id=CVE-2026-3605
National Vulnerability Database (NVD)
2	CVE-2026-3605	https://nvd.nist.gov/vuln/detail/CVE-2026-3605

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-288	https://cwe.mitre.org/data/definitions/288.html

ベンダー情報

No	Name	URL
HashiCorp
1	HCSEC-2026-05 - Vault KVv2 Metadata and Secret Deletion Policy Bypass Denial-of-Service - Security - HashiCorp Discuss	https://discuss.hashicorp.com/t/hcsec-2026-05-vault-kvv2-metadata-and-secret-deletion-policy-bypass-denial-of-service/77342

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 11:19 a.m.

NVD Vulnerability Information

CVE-2026-3605

Summary	An authenticated user with access to a kvv2 path through a policy containing a glob may be able to delete secrets they were not authorized to read or write, resulting in denial-of-service. This vulnerability did not allow a malicious user to delete secrets across namespaces, nor read any secret data. Fxed in Vault Community Edition 2.0.0 and Vault Enterprise 2.0.0, 1.21.5, 1.20.10, and 1.19.16.
Publication Date	April 17, 2026, 1:16 p.m.
Registration Date	April 18, 2026, 4:10 a.m.
Last Update	April 26, 2026, 3:08 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:hashicorp:vault:::::enterprise:::*	0.10.0			1.19.16
cpe:2.3:a:hashicorp:vault:::::-:::*	0.10.0			2.0.0
cpe:2.3:a:hashicorp:vault:::::enterprise:::*	1.20.0			1.20.10
cpe:2.3:a:hashicorp:vault:::::enterprise:::*	1.21.0			1.21.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://discuss.hashicorp.com/t/hcsec-2026-05-vault-kvv2-metadata-and-secret-deletion-policy-bypass-denial-of-service/77342	security@hashicorp.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-288	代替パスまたはチャネルを使用した認証回避	https://cwe.mitre.org/data/definitions/288.html