プラットフォーム
go
コンポーネント
github.com/openbao/openbao
修正版
2.3.1
2.3.1
CVE-2025-52894 describes a denial-of-service vulnerability discovered in OpenBao, a Go-based service. This vulnerability allows an attacker to perform unauthenticated and unaudited cancellation of root rekey and recovery rekey operations, leading to service disruption. The vulnerability affects versions prior to 2.3.1, and a configuration fix is available for v2.2.2 and later.
OpenBao および HashiCorp Vault の CVE-2025-52894 は、攻撃者が認証や監査なしにルートの rekey とリカバリーの rekey 操作をキャンセルすることを可能にし、サービス拒否 (DoS) を引き起こします。この脆弱性は特定の OpenBao のバージョンに影響を与え、Vault との共通コンポーネントがあるため、両方のツールを使用する環境に影響を与える可能性があります。これらの操作のキャンセルはまれですが、シークレットのローテーションを中断し、システム全体のセキュリティを損なう可能性があります。この問題の重大度は、アクションを実行するために資格情報が不要であるため、簡単に悪用できることに由来します。監査の欠如は、これらの攻撃の検出と追跡をさらに困難にします。
CVE-2025-52894 は、OpenBao および Vault と統合された環境での rekeying 操作をキャンセルするために必要な認証がないことを利用することで悪用されます。攻撃者は、有効な資格情報なしで rekeying エンドポイントに特定の HTTP リクエストを送信できます。監査の欠如により、検出が困難になり、攻撃者は痕跡を残さずにシークレットのローテーションを中断できます。悪用は比較的簡単であるため、悪意のある攻撃者が使用するリスクが高まります。rekeying エンドポイントへの露出を評価し、必要な軽減策を迅速に適用してください。
Organizations utilizing OpenBao for secrets management and relying on its rekey functionality are at risk. Specifically, deployments with older versions (prior to 2.3.1) and those not actively monitoring their OpenBao instances are particularly vulnerable.
• linux / server:
journalctl -u openbao | grep -i "rekey cancellation"• generic web:
curl -I http://<openbao_host>/rekey/cancel(Expect a 403 Forbidden or similar error after mitigation)
disclosure
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
この脆弱性を軽減するには、OpenBao をバージョン 2.3.1 以降にアップグレードしてください。即時の回避策として、OpenBao v2.2.2 以降では、構成オプション disableunauthedrekey_endpoints=true を設定することで、グローバルリスナーのこれらのほとんど使用されないエンドポイントを無効にすることができます。これにより、認証されていない攻撃者が rekeying 操作をキャンセルできなくなります。このオプションを正しく構成する方法の詳細については、OpenBao の公式ドキュメントを参照してください。さらに、OpenBao および Vault のログを監視して、rekeying 操作に関連する疑わしいアクティビティを検出します。
Actualice OpenBao a la versión 2.3.0 o posterior. Como alternativa, configure `disable_unauthed_rekey_endpoints=true` en la configuración de OpenBao. Si tiene un proxy o balanceador de carga frente a OpenBao, deniegue las solicitudes a los endpoints vulnerables desde rangos de IP no autorizados.
脆弱性分析と重要アラートをメールでお届けします。
2.3.1 より前のバージョンの OpenBao はこの脆弱性に対して脆弱です。最新バージョンにアップグレードすることをお勧めします。
OpenBao v2.2.2 以降では、グローバルリスナーの構成でオプション disableunauthedrekey_endpoints=true を構成します。
Vault との共通コンポーネントがあるため、この脆弱性は両方のツールを使用する環境にも影響を与える可能性があります。詳細については、Vault のドキュメントを参照してください。
OpenBao および Vault のログを監視して、rekeying 操作に関連する疑わしいアクティビティを検出します。影響を受けたシークレットをローテーションし、セキュリティ対策を強化することを検討してください。
詳細については、OpenBao の公式ドキュメントと CVE 脆弱性データベースを参照してください。
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。