Plateforme
go
Composant
github.com/openbao/openbao
Corrigé dans
2.3.1
2.3.1
CVE-2025-52894 describes a denial-of-service vulnerability discovered in OpenBao, a Go-based service. This vulnerability allows an attacker to perform unauthenticated and unaudited cancellation of root rekey and recovery rekey operations, leading to service disruption. The vulnerability affects versions prior to 2.3.1, and a configuration fix is available for v2.2.2 and later.
La vulnérabilité CVE-2025-52894 dans OpenBao et HashiCorp Vault permet à un attaquant d'annuler des opérations de rekeying de racine et de récupération sans authentification ni audit, ce qui entraîne une déni de service (DoS). Cette vulnérabilité affecte des versions spécifiques d'OpenBao et, en raison de composants partagés avec Vault, peut affecter les environnements utilisant les deux outils. L'annulation de ces opérations, bien que peu fréquente, peut perturber la rotation des secrets et compromettre la sécurité générale du système. La gravité découle de la facilité d'exploitation, ne nécessitant aucune authentification pour exécuter l'action. L'absence d'audit rend la détection plus difficile et le suivi de ces attaques.
La CVE-2025-52894 est exploitée en tirant parti du manque d'authentification requis pour annuler les opérations de rekeying dans OpenBao et potentiellement dans les environnements intégrés à Vault. Un attaquant peut envoyer des requêtes HTTP spécifiques aux points d'extrémité de rekeying sans informations d'identification valides. L'absence d'audit rend la détection difficile, permettant à l'attaquant d'interrompre la rotation des secrets sans laisser de trace. L'exploitation est relativement simple, augmentant le risque que des acteurs malveillants l'utilisent. Évaluez l'exposition des points d'extrémité de rekeying et appliquez les mesures d'atténuation nécessaires rapidement.
Organizations utilizing OpenBao for secrets management and relying on its rekey functionality are at risk. Specifically, deployments with older versions (prior to 2.3.1) and those not actively monitoring their OpenBao instances are particularly vulnerable.
• linux / server:
journalctl -u openbao | grep -i "rekey cancellation"• generic web:
curl -I http://<openbao_host>/rekey/cancel(Expect a 403 Forbidden or similar error after mitigation)
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Pour atténuer cette vulnérabilité, mettez à niveau OpenBao vers la version 2.3.1 ou ultérieure. En tant que solution de contournement immédiate, dans OpenBao v2.2.2 et versions ultérieures, la définition de l'option de configuration disableunauthedrekey_endpoints=true désactive ces points d'extrémité rarement utilisés sur les listeners globaux. Cela empêche les attaquants non authentifiés d'annuler les opérations de rekeying. Consultez la documentation officielle d'OpenBao pour obtenir des instructions détaillées sur la configuration de cette option. Surveillez également les journaux d'OpenBao et de Vault à la recherche d'activités suspectes liées aux opérations de rekeying.
Actualice OpenBao a la versión 2.3.0 o posterior. Como alternativa, configure `disable_unauthed_rekey_endpoints=true` en la configuración de OpenBao. Si tiene un proxy o balanceador de carga frente a OpenBao, deniegue las solicitudes a los endpoints vulnerables desde rangos de IP no autorizados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions d'OpenBao antérieures à la 2.3.1 sont vulnérables à cette vulnérabilité. Il est recommandé de passer à la dernière version.
Dans OpenBao v2.2.2 et versions ultérieures, configurez l'option disableunauthedrekey_endpoints=true dans la configuration des listeners globaux.
En raison des composants partagés avec Vault, cette vulnérabilité peut également affecter les environnements utilisant les deux outils. Consultez la documentation de Vault pour plus d'informations.
Examinez les journaux d'OpenBao et de Vault à la recherche d'activités suspectes liées aux opérations de rekeying. Envisagez de faire pivoter les secrets affectés et de renforcer les mesures de sécurité.
Consultez la documentation officielle d'OpenBao et la base de données de vulnérabilités CVE pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.