OpenBao ist eine Lösung für die Geheimnisverwaltung und Zugriffskontrolle. Es hilft Unternehmen, sensible Daten wie Passwörter, API-Schlüssel und Zertifikate sicher zu speichern und zu verwalten. OpenBao bietet eine zentrale Plattform für die Verwaltung von Geheimnissen in verschiedenen Umgebungen und Anwendungen.

Was ist Reflected XSS?

Reflected XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, bei der bösartige Skripte über Benutzereingaben in eine Website eingeschleust werden. Wenn ein Benutzer auf einen bösartigen Link klickt oder ein Formular mit eingeschleustem Code absendet, wird das Skript in seinem Browser ausgeführt, wodurch der Angreifer möglicherweise Cookies stehlen, den Benutzer umleiten oder die Website verunstalten kann.

Wie wirkt sich der nicht authentifizierte Rekey-Abbruch auf OpenBao aus?

Die Schwachstelle des nicht authentifizierten Rekey-Abbruchs in OpenBao ermöglicht es einem Angreifer, Root-Rekey- und Recovery-Rekey-Operationen ohne entsprechende Autorisierung abzubrechen. Dies kann zu einer Denial-of-Service führen, die legitime Benutzer daran hindert, diese kritischen Operationen durchzuführen, und potenziell die Sicherheit des Systems beeinträchtigen.

Wie kann ich die XSS-Schwachstelle in OpenBao beheben?

Um die XSS-Schwachstelle (CVE-2026-33758) in OpenBao zu beheben, sollten Sie auf Version v2.5.2 oder höher aktualisieren. Alternativ können Sie alle Rollen entfernen, bei denen `callback_mode` auf `direct` gesetzt ist. Dadurch wird verhindert, dass der anfällige Code ausgeführt wird.

NextGuard

Zurück zum Blog

CVSS 9.5CVE-2025-52894CVE-2026-33758

OpenBao-Patches für XSS und nicht authentifizierte Rekey-Abbruch

Kritische OpenBao-Schwachstellen gepatcht! CVE-2026-33758 beschreibt XSS in der OIDC-Authentifizierung. CVE-2025-52894 ermöglicht nicht authentifizierten Rekey-Abbruch. Jetzt aktualisieren!

Veröffentlicht am 3. April 2026

In OpenBao wurden zwei neue Schwachstellen identifiziert. Dazu gehören eine Reflected-XSS-Schwachstelle und ein Problem, das den nicht authentifizierten Abbruch von Root-Rekey-Operationen ermöglicht. Es sind Patches verfügbar, um diese Probleme zu beheben, und Benutzer werden dringend aufgefordert, sofort zu aktualisieren, um potenzielle Risiken zu mindern.

CVE-2026-33758 hat einen kritischen CVSS-Score, der auf eine hohe Ausnutzbarkeit und Auswirkung hinweist.

Was ist Github.com/openbao/openbao?

Github.com/openbao/openbao ist eine Komponente für Go. Sie bietet Funktionen im Zusammenhang mit der Geheimnisverwaltung und Zugriffskontrolle. Diese Komponente wird in verschiedenen Anwendungen und Systemen verwendet, um sensible Daten sicher zu speichern und zu verwalten. Weitere Informationen finden Sie unter alle github.com/openbao/openbao CVEs durchsuchen.

CVE-2025-52894: Nicht authentifizierter Rekey-Abbruch in OpenBao

CVSSN/A

Betroffene VersionenDiese Schwachstelle betrifft OpenBao-Installationen vor Version 2.2.2. Alle Benutzer sind betroffen, es sei denn, die Konfigurationsoption `disable_unauthed_rekey_endpoints=true` wird manuell gesetzt.

Kein CVSS-Score angegeben.

Ein EPSS-Score von 0,042 deutet auf eine geringe Ausnutzbarkeit hin.

OpenBao erlaubte den nicht authentifizierten Abbruch von Root-Rekey- und Recovery-Rekey-Operationen. Ein Angreifer könnte dies ausnutzen, um eine Denial-of-Service zu verursachen, indem er diese Operationen ohne entsprechende Autorisierung abbricht.

So beheben Sie CVE-2025-52894 in Github.com/openbao/openbao

Innerhalb von 7 Tagen patchen

1.Aktualisieren Sie auf OpenBao v2.3.1 oder höher.
2.Alternativ können Sie `disable_unauthed_rekey_endpoints=true` manuell in Ihrer OpenBao-Konfiguration setzen.

OpenBao aktualisieren

go get -u github.com/openbao/openbao@latest

Workaround: Wenn Sie einen Proxy oder Load Balancer verwenden, verweigern Sie Anfragen an die Rekey-Endpunkte von nicht autorisierten IP-Bereichen.

NextGuard kennzeichnet CVE-2025-52894 automatisch, wenn Github.com/openbao/openbao in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-33758: Reflected XSS in der OpenBao OIDC-Authentifizierung

CVSS9.5

Betroffene VersionenDiese Schwachstelle betrifft OpenBao-Installationen, bei denen die OIDC/JWT-Authentifizierung aktiviert ist und Rollen mit `callback_mode=direct` konfiguriert sind. Benutzer sind betroffen, wenn sie diese Konfigurationen haben.

Kritische Schwere aufgrund von Remote Code Execution über XSS.

Ein EPSS-Score von 0,121 deutet auf eine moderate Ausnutzbarkeit hin.

OpenBao ist anfällig für Reflected XSS in seiner OIDC-Authentifizierungsfehlermeldung. Ein Angreifer könnte bösartige Skripte über den Parameter `error_description` einschleusen und so potenziell Zugriff auf Benutzer-Token erhalten.

So beheben Sie CVE-2026-33758 in Github.com/openbao/openbao

Sofort patchen

1.Aktualisieren Sie auf OpenBao Version v2.5.2 oder höher.

OpenBao aktualisieren

go get -u github.com/openbao/openbao@latest

Workaround: Entfernen Sie alle Rollen, bei denen `callback_mode` auf `direct` gesetzt ist.

NextGuard kann Ihnen helfen, Ihre Go-Abhängigkeiten zu überwachen und Sie auf Schwachstellen wie CVE-2026-33758 aufmerksam zu machen.

Bleiben Sie Go-Schwachstellen einen Schritt voraus

Verwalten Sie Ihre Anwendungssicherheit proaktiv, indem Sie Schwachstellen identifizieren und beheben. Verwenden Sie NextGuard, um Ihre Go-Abhängigkeiten zu überwachen und Benachrichtigungen über neue Bedrohungen zu erhalten.

Überwachung starten

Häufig gestellte Fragen

Diese Schwachstellen unterstreichen, wie wichtig es ist, mit Sicherheitspatches auf dem neuesten Stand zu bleiben. Stellen Sie sicher, dass Sie Ihre OpenBao-Installationen aktualisieren und die empfohlenen Workarounds befolgen, um Ihre Systeme zu schützen. Sie können alle Go-Schwachstellen auf unserer Plattform einsehen.

Verwandte Themen

XSSDenial of ServiceSecrets ManagementGoOpenBao