CVE-2023-4680 in Vault
요약
\~에 의해 VulDB • 2026. 06. 27.
HashiCorp Vault 및 Vault Enterprise의 Transit Secrets Engine는 converged encryption(수렴 암호화)이 비활성화된 경우에도 인증된 사용자가 임의의 nonce를 지정할 수 있도록 허용했습니다. Encrypt 엔드포인트와 오프라인 공격을 결합하면 convergent encryption 없이 Transit Secrets Engine을 사용할 때 임의의 ciphertext를 복호화하고, 경우에 따라 authentication subkey(인증 서브키)를 도출할 수 있습니다. 이 취약점은 1.6.0에서 도입되었으며, 1.14.3, 1.13.7 및 1.12.11에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.