Platform
go
Component
github.com/openbao/openbao
Opgelost in
2.3.1
2.3.1
CVE-2025-52894 describes a denial-of-service vulnerability discovered in OpenBao, a Go-based service. This vulnerability allows an attacker to perform unauthenticated and unaudited cancellation of root rekey and recovery rekey operations, leading to service disruption. The vulnerability affects versions prior to 2.3.1, and a configuration fix is available for v2.2.2 and later.
CVE-2025-52894 in OpenBao en HashiCorp Vault stelt een aanvaller in staat om root rekey en recovery rekey operaties te annuleren zonder authenticatie of audit, wat resulteert in een denial-of-service (DoS). Deze kwetsbaarheid treft specifieke OpenBao versies en kan, vanwege gedeelde componenten met Vault, omgevingen beïnvloeden die beide tools gebruiken. Het annuleren van deze operaties, hoewel zelden voorkomend, kan de geheime rotatie onderbreken en de algehele systeembeveiliging in gevaar brengen. De ernst komt voort uit de eenvoud van de exploitatie, die geen inloggegevens vereist om de actie uit te voeren. Het ontbreken van een audit bemoeilijkt de detectie en het volgen van deze aanvallen verder.
CVE-2025-52894 wordt geëxploiteerd door te profiteren van het ontbreken van authenticatie die vereist is om rekeying operaties in OpenBao en mogelijk in Vault-geïntegreerde omgevingen te annuleren. Een aanvaller kan specifieke HTTP-verzoeken naar de rekeying endpoints sturen zonder geldige inloggegevens. Het ontbreken van een audit maakt detectie moeilijk, waardoor de aanvaller de geheime rotatie kan onderbreken zonder een spoor achter te laten. Exploitatie is relatief eenvoudig, wat het risico vergroot dat kwaadwillende actoren het zullen gebruiken. Evalueer de blootstelling van rekeying endpoints en pas de noodzakelijke mitigaties tijdig toe.
Organizations utilizing OpenBao for secrets management and relying on its rekey functionality are at risk. Specifically, deployments with older versions (prior to 2.3.1) and those not actively monitoring their OpenBao instances are particularly vulnerable.
• linux / server:
journalctl -u openbao | grep -i "rekey cancellation"• generic web:
curl -I http://<openbao_host>/rekey/cancel(Expect a 403 Forbidden or similar error after mitigation)
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
Om deze kwetsbaarheid te mitigeren, upgrade OpenBao naar versie 2.3.1 of hoger. Als een directe workaround, in OpenBao v2.2.2 en hoger, kan de configuratieoptie disableunauthedrekey_endpoints=true worden ingesteld om deze zelden gebruikte endpoints op globale listeners te deactiveren. Dit voorkomt dat niet-geauthenticeerde aanvallers rekeying operaties annuleren. Raadpleeg de officiële OpenBao documentatie voor gedetailleerde instructies over hoe u deze optie correct kunt configureren. Monitor bovendien de OpenBao- en Vault-logs op verdachte activiteiten met betrekking tot rekeying operaties.
Actualice OpenBao a la versión 2.3.0 o posterior. Como alternativa, configure `disable_unauthed_rekey_endpoints=true` en la configuración de OpenBao. Si tiene un proxy o balanceador de carga frente a OpenBao, deniegue las solicitudes a los endpoints vulnerables desde rangos de IP no autorizados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-52894 is a denial-of-service vulnerability in OpenBao, allowing unauthenticated cancellation of rekey operations, potentially disrupting service availability.
You are affected if you are running OpenBao versions prior to 2.3.1 and have not implemented the mitigation.
Set the configuration option disableunauthedrekey_endpoints=true in OpenBao v2.2.2 and later. Upgrade to version 2.3.1 or higher when available.
There is currently no evidence of active exploitation of CVE-2025-52894.
Refer to the OpenBao documentation at https://openbao.org/docs/deprecation/ for details and updates regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.