Plataforma
go
Componente
github.com/openbao/openbao
Corrigido em
2.3.1
2.3.1
CVE-2025-52894 describes a denial-of-service vulnerability discovered in OpenBao, a Go-based service. This vulnerability allows an attacker to perform unauthenticated and unaudited cancellation of root rekey and recovery rekey operations, leading to service disruption. The vulnerability affects versions prior to 2.3.1, and a configuration fix is available for v2.2.2 and later.
A vulnerabilidade CVE-2025-52894 no OpenBao e HashiCorp Vault permite que um atacante cancele operações de rekeying de raiz e recuperação sem autenticação ou auditoria, resultando em uma negação de serviço (DoS). Essa vulnerabilidade afeta versões específicas do OpenBao e, devido a componentes compartilhados com o Vault, pode afetar ambientes que utilizam ambas as ferramentas. O cancelamento dessas operações, embora infrequente, pode interromper a rotação de segredos e comprometer a segurança geral do sistema. A gravidade decorre da facilidade de exploração, não exigindo credenciais para executar a ação. A falta de auditoria dificulta ainda mais a detecção e o rastreamento desses ataques.
A CVE-2025-52894 é explorada aproveitando a falta de autenticação necessária para cancelar as operações de rekeying no OpenBao e potencialmente em ambientes integrados ao Vault. Um atacante pode enviar solicitações HTTP específicas para os pontos finais de rekeying sem credenciais válidas. A ausência de auditoria dificulta a detecção, permitindo que o atacante interrompa a rotação de segredos sem deixar vestígios. A exploração é relativamente direta, aumentando o risco de que agentes maliciosos a utilizem. Avalie a exposição dos pontos finais de rekeying e aplique as mitigações necessárias com prontidão.
Organizations utilizing OpenBao for secrets management and relying on its rekey functionality are at risk. Specifically, deployments with older versions (prior to 2.3.1) and those not actively monitoring their OpenBao instances are particularly vulnerable.
• linux / server:
journalctl -u openbao | grep -i "rekey cancellation"• generic web:
curl -I http://<openbao_host>/rekey/cancel(Expect a 403 Forbidden or similar error after mitigation)
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Para mitigar essa vulnerabilidade, atualize o OpenBao para a versão 2.3.1 ou posterior. Como uma solução alternativa imediata, no OpenBao v2.2.2 e posterior, definir a opção de configuração disableunauthedrekey_endpoints=true desativa esses pontos finais raramente usados em listeners globais. Isso impede que atacantes não autenticados cancelem as operações de rekeying. Consulte a documentação oficial do OpenBao para obter instruções detalhadas sobre como configurar esta opção. Além disso, monitore os logs do OpenBao e do Vault em busca de atividades suspeitas relacionadas às operações de rekeying.
Actualice OpenBao a la versión 2.3.0 o posterior. Como alternativa, configure `disable_unauthed_rekey_endpoints=true` en la configuración de OpenBao. Si tiene un proxy o balanceador de carga frente a OpenBao, deniegue las solicitudes a los endpoints vulnerables desde rangos de IP no autorizados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versões do OpenBao anteriores à 2.3.1 são vulneráveis a esta vulnerabilidade. É recomendável atualizar para a versão mais recente.
No OpenBao v2.2.2 e posterior, configure a opção disableunauthedrekey_endpoints=true na configuração dos listeners globais.
Devido aos componentes compartilhados com o Vault, esta vulnerabilidade também pode afetar ambientes que utilizam ambas as ferramentas. Consulte a documentação do Vault para obter mais informações.
Revise os logs do OpenBao e do Vault em busca de atividades suspeitas relacionadas às operações de rekeying. Considere rotacionar os segredos afetados e reforçar as medidas de segurança.
Consulte a documentação oficial do OpenBao e o banco de dados de vulnerabilidades CVE para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.