平台
go
组件
github.com/openbao/openbao
修复版本
2.3.1
2.3.1
CVE-2025-52894描述了OpenBao和HashiCorp Vault中存在的漏洞,攻击者可以执行未经身份验证和未经审计的根密钥和恢复密钥操作取消,从而导致拒绝服务。此漏洞影响OpenBao的早期版本,可能导致服务中断。受影响的版本包括OpenBao v2.2.2之前的版本。可以通过升级到OpenBao v2.3.1来解决此问题。
CVE-2025-52894 在 OpenBao 和 HashiCorp Vault 中允许攻击者在未经身份验证和审计的情况下取消根 rekey 和恢复 rekey 操作,从而导致拒绝服务 (DoS)。此漏洞影响特定的 OpenBao 版本,并且由于与 Vault 共享组件,因此可能会影响使用两者的环境。取消这些操作(尽管不常见)可能会中断密钥轮换并损害整体系统安全性。严重性源于易于利用,无需凭据即可执行操作。缺乏审计进一步使检测和跟踪这些攻击变得更加困难。
CVE-2025-52894 通过利用 OpenBao 和潜在的 Vault 集成环境中取消 rekeying 操作所需的身份验证缺失来加以利用。攻击者可以在没有有效凭据的情况下向 rekeying 端点发送特定的 HTTP 请求。审计的缺失使得检测变得困难,允许攻击者在不留下痕迹的情况下中断密钥轮换。利用相对简单,增加了恶意行为者使用它的风险。请评估 rekeying 端点暴露情况,并及时应用必要的缓解措施。
Organizations utilizing OpenBao for secrets management and relying on its rekey functionality are at risk. Specifically, deployments with older versions (prior to 2.3.1) and those not actively monitoring their OpenBao instances are particularly vulnerable.
• linux / server:
journalctl -u openbao | grep -i "rekey cancellation"• generic web:
curl -I http://<openbao_host>/rekey/cancel(Expect a 403 Forbidden or similar error after mitigation)
disclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
为了减轻此漏洞,请将 OpenBao 升级到 2.3.1 或更高版本。作为一种即时规避措施,在 OpenBao v2.2.2 及更高版本中,将配置选项 disableunauthedrekey_endpoints=true 设置为禁用全局侦听器上这些很少使用的端点。这可以防止未经身份验证的攻击者取消 rekeying 操作。有关如何正确配置此选项的详细说明,请参阅 OpenBao 官方文档。此外,监控 OpenBao 和 Vault 日志,以查找与 rekeying 操作相关的可疑活动。
Actualice OpenBao a la versión 2.3.0 o posterior. Como alternativa, configure `disable_unauthed_rekey_endpoints=true` en la configuración de OpenBao. Si tiene un proxy o balanceador de carga frente a OpenBao, deniegue las solicitudes a los endpoints vulnerables desde rangos de IP no autorizados.
漏洞分析和关键警报直接发送到您的邮箱。
早于 2.3.1 的 OpenBao 版本容易受到此漏洞的影响。建议升级到最新版本。
在 OpenBao v2.2.2 及更高版本中,请在全局侦听器配置中配置 disableunauthedrekey_endpoints=true 选项。
由于与 Vault 共享组件,此漏洞也可能影响使用两者的环境。请参阅 Vault 文档以获取更多信息。
检查 OpenBao 和 Vault 日志,以查找与 rekeying 操作相关的可疑活动。考虑轮换受影响的密钥并加强安全措施。
请参阅 OpenBao 官方文档和 CVE 漏洞数据库以获取更多详细信息。
上传你的 go.mod 文件,立即知道是否受影响。