9月26日云端服务基础设施自动化业者HashiCorp发布资安公告，指出旗下的机敏信息（secrets）管理工具Vault存在高风险漏洞CVE-2024-7594，同时影响社群版（Community Edition）与企业版（Enterprise），对此，他们发布社群版1.17.6，以及企业版1.17.6、1.16.10、1.15.15予以修补。

这项漏洞发生的原因，在于SSH机敏信息引擎的valid_principals列表默认不须具备任何参数，一旦valid_principals及default_user字段尚未设置，任何得到授权的用户请求的SSH凭证，将能对任何本机用户进行身分验证，CVSS风险评分为7.7。

由于valid_principals字段的用途，是提供SSH服务器验证Vault产生的凭证，若是该字段设置为空字符串或是零规则（zero principals），在特定情况的所有规则之下，凭证都会是有效的。为了防范上述弱点，该公司在Vault的SSH机敏信息引擎加入allow_empty_principals组态，并默认为关闭，但需要维持兼容性的用户，仍可更改这项设置以维持向下兼容。

针对这项漏洞的缓解，HashiCorp认为用户应评估处理该弱点而可能产生的风险，若是无法部署新版Vault，应考虑调整SSH机敏信息引擎的字段valid_principals，将其设置为非空值。