Plataforma
go
Componente
github.com/openbao/openbao
Corregido en
2.3.3
2.3.2
0.0.0-20250806194004-a14053c9679d
CVE-2025-54997 describe una vulnerabilidad de ejecución remota de código (RCE) presente en el operador OpenBao de GitHub (github.com/openbao/openbao). Esta vulnerabilidad permite a un operador privilegiado ejecutar código arbitrario en el host subyacente, comprometiendo la seguridad del clúster. Afecta a versiones anteriores a v2.3.2 y se recomienda actualizar a la versión corregida.
La gravedad de esta vulnerabilidad radica en la posibilidad de ejecución remota de código. Un atacante que explote esta vulnerabilidad podría obtener control total sobre el nodo Kubernetes donde se ejecuta el operador OpenBao. Esto podría resultar en la exfiltración de datos sensibles, la modificación de la configuración del clúster, la instalación de malware o incluso el uso del nodo comprometido como punto de apoyo para atacar otros sistemas dentro de la red. La naturaleza privilegiada del operador amplifica el impacto, ya que el atacante podría escalar privilegios fácilmente. Si bien no se han reportado explotaciones públicas, la alta puntuación CVSS indica un riesgo significativo.
CVE-2025-54997 fue publicado el 11 de agosto de 2025. Actualmente no se encuentra listado en el KEV de CISA, pero la alta puntuación CVSS (9.1) sugiere un riesgo considerable. No se han reportado públicamente pruebas de concepto (PoC) disponibles, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Organizations deploying OpenBao Operator in production environments, particularly those with privileged access controls or shared infrastructure, are at significant risk. Environments utilizing older, unpatched versions of the OpenBao Operator are especially vulnerable.
• linux / server:
journalctl -u openbao -g 'error' -g 'critical'• go / supply-chain: Inspect the OpenBao Operator's deployment manifests for any unusual or suspicious configurations that could facilitate privilege escalation. • generic web: Monitor access logs for requests targeting the OpenBao Operator's API endpoints, particularly those related to privileged operations.
disclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-54997 es actualizar el operador OpenBao a la versión v2.3.2 o superior (0.0.0-20250806194004-a14053c9679d). Si la actualización causa problemas de compatibilidad, considere una reversión temporal a una versión anterior conocida como segura, mientras se evalúa la compatibilidad de la versión corregida. Además, revise los permisos del operador OpenBao para asegurar que solo tenga los privilegios mínimos necesarios para su funcionamiento. Implementar políticas de control de acceso basadas en roles (RBAC) en Kubernetes puede ayudar a limitar el impacto de una posible explotación.
Actualice OpenBao a la versión 2.3.2 o superior. Como alternativa, bloquee el acceso a los endpoints sys/audit/* utilizando políticas de denegación explícitas. Tenga en cuenta que los operadores root no pueden ser restringidos de esta manera.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54997 is a critical Remote Code Execution vulnerability affecting versions of OpenBao Operator before v2.3.2, allowing attackers to execute code on the host system.
If you are using OpenBao Operator versions prior to v2.3.2, you are vulnerable to this RCE vulnerability. Check your deployment version immediately.
Upgrade to version 0.0.0-20250806194004-a14053c9679d or later to patch the vulnerability. Implement access controls as a temporary mitigation.
While no active exploitation has been publicly confirmed, the high CVSS score and RCE nature suggest a potential for rapid exploitation.
Refer to the OpenBao project's official advisory channels for the most up-to-date information and security announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.