CWE-156ВариантЧерновик
Некорректная нейтрализация пробельных символов
Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, которые могут быть интерпретированы как пробельные символы при передаче нижестоящему компоненту.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-6013Vault и Vault Enterprise (“Vault”) могут не обеспечивать правильную реализацию MFA при использовании метода аутентификации ldap, если параметр username_as_alias установлен в true, а у пользователя есть несколько CN, которые равны, но различаются наличием начальных или конечных пробелов. Исправлено в Vault Community Edition 1.20.2 и Vault Enterprise 1.20.2, 1.19.8, 1.18.13 и 1.16.24 [1].
Источники:
- [1] https://discuss.hashicorp.com/t/hcsec-2025-20-vault-ldap-mfa-enforcement-bypass-when-using-username-as-alias/76092
CVE-2025-6014Механизм TOTP Secrets Engine в Vault и Vault Enterprise (“Vault”) имеет уязвимость, связанную с повторным использованием кода в пределах периода его действия [1]. Проблема исправлена в Vault Community Edition 1.20.1 и Vault Enterprise 1.20.1, 1.19.7, 1.18.12 и 1.16.23. Кэш использованных кодов TOTP не нормализовал записи, что позволяло злоумышленникам повторно использовать существующие коды путем добавления пробелов. Теперь Vault строго проверяет длину кода TOTP на основе настроенной длины ключа. Клиентам рекомендуется обновить свои системы до указанных версий для устранения уязвимости.
Источники:
- [1] https://discuss.hashicorp.com/t/hcsec-2025-17-vault-totp-secrets-engine-code-reuse/76036
CVE-2025-55001OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях 2.3.1 и ниже OpenBao допускал назначение политик и атрибуции MFA на основе псевдонимов сущностей, выбранных основным методом аутентификации. При использовании параметра username_as_alias=true в методе аутентификации LDAP предоставленное пользователем имя использовалось дословно без нормализации, что позволяло злоумышленнику обойти требования MFA, специфичные для псевдонима [1]. Эта проблема была исправлена в версии 2.3.2. Чтобы обойти эту проблему, удалите все использования параметра username_as_alias=true и обновите псевдонимы сущностей соответствующим образом.
Источники:
- [1] https://github.com/openbao/openbao/security/advisories/GHSA-2q8q-8fgw-9p6p
- [2] https://github.com/openbao/openbao/commit/c52795c1ef746c7f2c510f9225aa8ccbbd44f9fc
- [3] https://discuss.hashicorp.com/t/hcsec-2025-20-vault-ldap-mfa-enforcement-bypass-when-using-username-as-alias/76092
CVE-2025-55000OpenBao существует для предоставления программного решения для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях от 0.1.0 до 2.3.1 движок секретов TOTP OpenBao мог принимать действительные коды несколько раз, а не строго один раз. Это было вызвано неожиданной нормализацией в базовой библиотеке TOTP. Для обхода рекомендуется убедиться, что все коды сначала нормализуются перед отправкой в конечную точку OpenBao. Проверка кода TOTP является привилегированной операцией; только доверенные системы должны проверять коды [1].
Источники:
- [1] https://github.com/openbao/openbao/security/advisories/GHSA-f7c3-mhj2-9pvg
- [2] https://github.com/openbao/openbao/commit/183891f8d535d5b6eb3d79fda8200cade6de99e1
- [3] https://discuss.hashicorp.com/t/hcsec-2025-17-vault-totp-secrets-engine-code-reuse/76036
CVE-2025-55127Член сообщества HackerOne Дао Хоанг Ань (yoyomiski) сообщил о неправильной нейтрализации белого пространства в имени пользователя при добавлении новых пользователей. Имя пользователя с ведущим или затыкающим белым пространством может быть практически неотличимым от своего законного аналога, когда имя пользователя отображается в пользовательском интерфейсе, что может привести к путанице.