V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd,anchore_overrides

Openbao

Уязвимости
26
Эксплуатируемые
0
Критический
3
Высокий
8

Топ продуктов

Openbao25Openbao Sdk2Aws Plugin1Openbao Api1

Топ уязвимостей

CVE-2024-2048Метод аутентификации с помощью сертификатов TLS в Vault и Vault Enterprise («Vault») не корректно проверяет клиентские сертификаты, когда настроен с не-CА сертификатом в качестве доверенного сертификата. В этой конфигурации злоумышленник может создать вредоносный сертификат, который может быть использован для обхода аутентификации. Исправлено в Vault 1.15.5 и 1.14.10.
CVE-2026-33758OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.5.2 установки OpenBao, которые имеют способ аутентификации OIDC/JWT и роль с конфигурацией `callback_mode=direct` уязвимы для XSS через параметр `error_description` на странице для неудачной аутентификации. Это позволяет злоумышленнику получить доступ к токену, используемому в Web UI жертвой. Параметр `error_description` был заменен на статическое сообщение об ошибке в v2.5.2. Уязвимость может быть смягчена путем удаления любых ролей с `cllback_mode` установленным на `direct`.
CVE-2025-54997OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях 2.3.1 и ниже некоторые реализации OpenBao намеренно ограничивают привилегированных операторов API от выполнения системного кода или установления сетевых соединений. Однако эти операторы могут обойти оба ограничения через подсистему аудита, манипулируя префиксами журналов. Это позволяет неавторизованное выполнение кода и доступ к сети, нарушая предполагаемую модель безопасности. Проблема исправлена в версии 2.3.2. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-xp75-r577-cvhp - [2] https://github.com/openbao/openbao/pull/1634 - [3] https://discuss.hashicorp.com/t/hcsec-2025-14-privileged-vault-operator-may-execute-code-on-the-underlying-host/76033
CVE-2026-33757OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.5.2 OpenBao не подсказывает подтверждение пользователя при входе в систему через JWT/OIDC и роль с `callback_mode` установленной на `direct`. Это позволяет злоумышленнику запустить запрос аутентификации и выполнить «дистанционное фишинг», заставив жертву посетить URL-адрес и автоматически войти в сеанс злоумышленника. Несмотря на то, что он основан на потоке кода авторизации, режим «прямого» возвращает прямо на API и позволяет злоумышленнику проводить опрос для токена OpenBao до тех пор, пока он не будет выпущен. Версия 2.5.2 включает в себя дополнительный экран подтверждения для логинов прямого `` типа, который требует ручного взаимодействия пользователя для завершения аутентификации. Эта проблема может быть решена либо путем удаления любых ролей с `callback_mode=direct` или обеспечения подтверждения для каждой сессии на стороне эмитента токенов для идентификатора клиента, используемого OpenBao.
CVE-2025-59048Плагин OpenBao AWS генерирует учетные данные доступа AWS на основе политик IAM. До версии 0.1.1 плагин AWS уязвим для кросс-аккаунта IAM олицетворения в методе AWS auth. Уязвимость позволяет роли IAM из ненадежной учетной записи AWS аутентифицироваться, выдавая себя за роль с таким же именем в доверенной учетной записи, что приводит к несанкционированному доступу. Это влияет на всех пользователей плагина auth-aws, которые работают в среде с несколькими счетами AWS, где имена ролей IAM могут не быть уникальными для учетных записей. Эта уязвимость была исправлена в версии 0.1.1 плагина auth-aws. Обходка для этой проблемы включает в себя гарантию того, что имена ролей IAM уникальны во всех учетных записях AWS, которые потенциально могут взаимодействовать с вашей средой OpenBao, и аудит для любых дублирующих ролей IAM.
CVE-2025-64761OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.4.4 привилегированный оператор мог использовать подсистему группы идентификации для добавления корневой политики в группу идентичности, увеличивая разрешения своего или другого пользователя в системе. В частности, это проблема, когда оператор в корневом пространстве имен имеет доступ к конечным точкам идентификации / групп, а оператор не имеет доступа к политике. В противном случае оператор, имеющий доступ к политике, может создать или изменить существующую политику для предоставления разрешений, эквивалентных корней, через возможность sudo. Эта проблема была исправлена в версии 2.4.4.
CVE-2025-59043OpenBao — это система управления секретами, основанная на идентификации. В версиях OpenBao до 2.4.1 после декодирования JSON‑объекты могут потреблять заметно больше памяти, чем их сериализованный размер, позволяя достичь коэффициента использования памяти ≈35 (аналог zip‑bomb). Это позволяет обойти параметр **max_request_size**, предназначенный для защиты от атак отказа в обслуживании. Тело запроса разбирается в map[string]interface{} (http/logical.go строка 50) очень рано в цепочке обработки запросов, до аутентификации, поэтому неавторизованный атакующий может отправить специально сформированный JSON‑объект и вызвать крах процесса из‑за нехватки памяти. Кроме того, при большом числе строк в запросе подсистема аудита может потреблять значительные ресурсы CPU.\n\nДополнительные технические детали из контекста: был введён новый параметр **max_request_json_complexity** (по умолчанию 10000) — ограничение количества токенов в JSON‑теле запроса, которое используется для оценки потенциального расхода памяти при распаковке. При превышении лимита команда git rejects JSON‑тела, потребляющие слишком много RAM. Также в коде была добавлена проверка и удаление конфликтующих файлов/символических ссылок перед записью LFS‑объектов.\n\nИсточники:\n - [1] https://github.com/openbao/openbao/security/advisories/GHSA-g46h-2rq9-gw5m\n - [2] https://github.com/openbao/openbao/pull/1756\n - [3] https://github.com/openbao/openbao/commit/d418f238bc99adc72c73109faf574cc2b672880c\n - [4] https://github.com/openbao/openbao/blob/788536bd3e10818a7b4fb00aac6affc23388e5a9/http/logical.go#L50
CVE-2024-8185Кластеры Vault Community и Vault Enterprise («Vault»), использующие интегрированную систему хранения данных Vault, уязвимы для атак типа «отказ в обслуживании» (DoS) из-за исчерпания памяти через конечную точку API присоединения к кластеру Raft. Злоумышленник может отправлять большой объем запросов к конечной точке, что может привести к чрезмерному потреблению системных ресурсов памяти Vault, что потенциально может привести к сбою базовой системы и самого процесса Vault. Эта уязвимость, CVE-2024-8185, исправлена в Vault Community 1.18.1 и Vault Enterprise 1.18.1, 1.17.8 и 1.16.12.
CVE-2024-7594Механизм секретов SSH Vault не требовал, чтобы список valid_principals по умолчанию содержал значение. Если поля valid_principals и default_user конфигурации механизма секретов SSH не установлены, сертификат SSH, запрошенный авторизованным пользователем у механизма секретов SSH Vault, может использоваться для аутентификации в качестве любого пользователя на хосте. Исправлено в Vault Community Edition 1.17.6 и в Vault Enterprise 1.17.6, 1.16.10 и 1.15.15.
CVE-2025-54996OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях 2.3.1 и ниже учетные записи с доступом к высокопривилегированным системам идентификации сущностей в корневых пространствах имен могли напрямую расширить свои полномочия до корневой политики. Хотя система идентификации всегда позволяла добавлять произвольные политики, которые, в свою очередь, могли содержать гранты возможностей на произвольные пути, корневая политика была ограничена ручным созданием с использованием долей ключей восстановления или unseal. Глобальная корневая политика не была доступна из дочерних пространств имен. Проблема исправлена в версии 2.3.2. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-vf84-mxrq-crqc - [2] https://discuss.hashicorp.com/t/hcsec-2025-13-vault-root-namespace-operator-may-elevate-token-privileges/76032
CVE-2024-9180Привилегированный оператор Vault с правами записи в конечную точку identity корневого пространства имен может повысить свои собственные или привилегии другого пользователя до корневой политики Vault. Исправлено в Vault Community Edition 1.18.0 и Vault Enterprise 1.18.0, 1.17.7, 1.16.11 и 1.15.16.
CVE-2025-52894OpenBao существует для предоставления программного решения для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. OpenBao до v2.3.0 позволил злоумышленнику выполнить неаудированную, неаудированную отмену корневого реки и операций по восстановлению, что приведет к отказу в обслуживании. В OpenBao v2.2.0 и более поздней версии вручную настройка параметра ``dable_unauthed_rekey_endpoints=true` позволяет оператору отказывать в этих редко используемых конечных точках на глобальных слушателях. Патч доступен на фикф75468822a22a82a88318c6079425357a02ae5b77b. В будущем релизе OpenBao, сообщенном на веб-сайте OpenBao, разработчики настроят это на «правду для всех пользователей» и предоставят аутентифицированную альтернативу. В качестве обходного действия, если активный прокси или балансировщик нагрузки находится перед OpenBao, оператор может отклонить запросы на эти конечные точки из несанкционированных диапазонов IP.
CVE-2026-39396OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.5.3 «ExtractPluginFromImage()` в загрузчике плагина OCI OpenBao извлекает плагин из изображения контейнера, транслируя данные о декомпрессии через `io.Copy` без верхней границы по количеству написанных байтов. Злоумышленник, который контролирует или компрометирующий реестр OCI, упомянутый в конфигурации жертвы, может подавать созданное изображение, содержащее декомпрессионную бомбу, которая декомпрессируется в произвольно большой файл. Проверка целостности SHA256 происходит после того, как полный файл записывается на диск, что означает, что хеш-несоответствие обнаруживается только после того, как повреждение (исчерпание диска) уже произошло. Это позволяет злоумышленнику заменить **законный плагин образ** без необходимости изменять свою подпись. Версия 2.5.3 содержит патч.
CVE-2025-55001OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях 2.3.1 и ниже OpenBao допускал назначение политик и атрибуции MFA на основе псевдонимов сущностей, выбранных основным методом аутентификации. При использовании параметра username_as_alias=true в методе аутентификации LDAP предоставленное пользователем имя использовалось дословно без нормализации, что позволяло злоумышленнику обойти требования MFA, специфичные для псевдонима [1]. Эта проблема была исправлена в версии 2.3.2. Чтобы обойти эту проблему, удалите все использования параметра username_as_alias=true и обновите псевдонимы сущностей соответствующим образом. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-2q8q-8fgw-9p6p - [2] https://github.com/openbao/openbao/commit/c52795c1ef746c7f2c510f9225aa8ccbbd44f9fc - [3] https://discuss.hashicorp.com/t/hcsec-2025-20-vault-ldap-mfa-enforcement-bypass-when-using-username-as-alias/76092
CVE-2025-55000OpenBao существует для предоставления программного решения для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях от 0.1.0 до 2.3.1 движок секретов TOTP OpenBao мог принимать действительные коды несколько раз, а не строго один раз. Это было вызвано неожиданной нормализацией в базовой библиотеке TOTP. Для обхода рекомендуется убедиться, что все коды сначала нормализуются перед отправкой в конечную точку OpenBao. Проверка кода TOTP является привилегированной операцией; только доверенные системы должны проверять коды [1]. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-f7c3-mhj2-9pvg - [2] https://github.com/openbao/openbao/commit/183891f8d535d5b6eb3d79fda8200cade6de99e1 - [3] https://discuss.hashicorp.com/t/hcsec-2025-17-vault-totp-secrets-engine-code-reuse/76036
CVE-2025-4166В Vault Community и Vault Enterprise плагин Key/Value (kv) версии 2 может непреднамеренно раскрыть конфиденциальную информацию в серверных и аудиторских журналах при отправке некорректных полезных данных во время операций создания или обновления секретов через Vault REST API. Эта уязвимость исправлена в Vault Community 1.19.3 и Vault Enterprise 1.19.3, 1.18.9, 1.17.16, 1.16.20. Уязвимость возникает, когда при создании или обновлении секретов с помощью плагина KV v2 через REST API, Vault случайно записывает значение секрета в журналы сервера и аудита при возникновении ошибки. Некорректная запись происходит только при неправильной отправке полезных данных, например, при неправильно сформированном JSON. Источники: - [1] https://discuss.hashicorp.com/t/hcsec-2025-09-vault-may-expose-sensitive-information-in-error-logs-when-processing-malformed-data-with-the-kv-v2-plugin
CVE-2025-62705OpenBao — это система управления секретами на основе идентификации с открытым исходным кодом. До версии 2.4.2 журнал аудита OpenBao не корректно удалял конфиденциальные поля, когда подсистемы передавали параметры ответа в виде []byte вместо строк. В частности, при использовании sys/raw с параметром encoding=base64 все данные выводились в журнал без редактирования, а модуль Transit при подписи с производным ключом Ed25519 записывал открытый ключ в журнал. Уязвимость также могла затронуть сторонние плагины. Проблема известна с периода HashiCorp Vault и сохраняется до версии 1.20.4. Патч, исправляющий проблему, включён в OpenBao 2.4.2; при отсутствии использования указанных функций риск отсутствует, а отключить sys/raw можно установив raw_storage_endpoint=false. Подробности см. в источниках [1] и [2]. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-rc54-2g2c-g36g - [2] https://github.com/openbao/openbao/commit/cc2c476bac66e1d94776c2629793daec3af625f8
CVE-2025-62513В OpenBao (версии 2.2.0‑2.4.1) журнал аудита записывал необработанные тела HTTP‑запросов без корректного HMAC‑подавления (см. [1]). Это позволяло раскрыть короткоживущие коды проверки ACME и ответы OIDC‑токенов в логах, что может быть использовано для получения конфиденциальных данных (см. [2]). Проблема исправлена в версии 2.4.2; при невозможности обновления рекомендуется отключить функции ACME и OIDC, если они не нужны (см. [1]). Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-ghfh-fmx4-26h8 - [2] https://github.com/openbao/openbao/commit/cc2c476bac66e1d94776c2629793daec3af625f8
CVE-2025-55003OpenBao существует для предоставления программного решения для управления, хранением и распространением конфиденциальных данных, включая секреты, сертификаты и ключи. В версии 2.3.1 и ниже система многофакторной аутентификации (MFA) OpenBao позволяет применять MFA с использованием одноразовых паролей на основе времени (TOTP). Из-за нормализации, применяемой базовой библиотекой TOTP, коды принимались с пробелами, что позволяло обойти внутреннее ограничение скорости метода MFA и повторно использовать существующие коды MFA. Эта проблема была исправлена в версии 2.3.2. Для обхода можно использовать квоты ограничения скорости [1]. Источники: - [1] https://openbao.org/api-docs/system/rate-limit-quotas/ - [2] https://github.com/openbao/openbao/security/advisories/GHSA-rxp7-9q75-vj3p - [3] https://github.com/openbao/openbao/commit/8340a6918f6c41d8f75b6c3845c376d9dc32ed19 - [4] https://discuss.hashicorp.com/t/hcsec-2025-19-vault-login-mfa-bypass-of-rate-limiting-and-totp-token-reuse/76038
CVE-2025-54998OpenBao существует для управления, хранения и распространения конфиденциальных данных. В версиях от 0.1.0 до 2.3.1 злоумышленники могли обойти механизмы автоматической блокировки пользователей в системах аутентификации OpenBao Userpass или LDAP. Это было вызвано различиями в псевдонимах между предварительной проверкой и полным запросом входа в систему. Проблема исправлена в версии 2.3.2 [1]. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-j3xv-7fxp-gfhx - [2] https://github.com/openbao/openbao/commit/c52795c1ef746c7f2c510f9225aa8ccbbd44f9fc - [3] https://discuss.hashicorp.com/t/hcsec-2025-16-vault-userpass-and-ldap-user-lockout-bypass/76035
CVE-2026-39946OpenBao - это система управления секретами с открытым исходным кодом. До версии 2.5.3, когда OpenBao отменял привилегии на роль в движке секретов базы данных PostgreSQL, OpenBao не использовала правильную цитировку базы данных по именам схем, предоставленным PostgreSQL. Это может привести к сбоям в отзыве ролей или, реже, к инъекции SQL в качестве пользователя управления. Эта уязвимость была оригинальной от HashiCorp Vault. Уязвимость рассматривается в v2.5.3. В качестве обходного раунда схемы таблиц аудита и обеспечение того, чтобы пользователи баз данных не могли создавать новые схемы и предоставлять привилегии на них.
CVE-2025-52893OpenBao существует для предоставления программного решения для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. OpenBao перед v2.3.0 может утечка конфиденциальной информации в журналах при обработке неправильно сформированных данных. Это отдельно от более раннего HCSEC-2025-09 / CVE-2025-4166. Эта проблема была исправлена в OpenBao v2.3.0 и позже. Как и в случае с HCSEC-2025-09, нет никакого известного обходного движения, кроме как для обеспечения правильно отформатированных запросов от всех клиентов.
CVE-2025-54999OpenBao предоставляет программное решение для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях 0.1.0 через 2.3.1 при использовании метода аутентификации userpass OpenBao была возможна нумерация пользователей из-за разницы во времени между несуществующими пользователями и пользователями с сохраненными учетными данными. Это было независимо от того, были ли предоставленные учетные данные действительными для данного пользователя [1]. Эта проблема была исправлена в версии 2.3.2. Чтобы обойти эту проблему, пользователи могут использовать другой метод аутентификации или применить квоты ограничения скорости, чтобы ограничить количество запросов за период времени [2]. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-hh28-h22f-8357 - [2] https://github.com/openbao/openbao/commit/4d9b5d3d6486ab9fbd5b644173fa0097015d6626 - [3] https://discuss.hashicorp.com/t/hcsec-2025-15-timing-side-channel-in-vault-s-userpass-auth-method/76034 - [4] https://discuss.hashicorp.com/t/hcsec-2025-21-vault-user-enumeration-in-userpass-auth-method/76095
CVE-2026-42186OpenBao - это система управления секретами с открытым исходным кодом. До 2.5.3, когда первоначальное удаление пространства имен OpenBao терпит неудачу, последующие повторы не могут должным образом удалить все данные, прежде чем пометить пространство имен как удаленное. Это может повлиять на любую непогашенную аренду, а также потенциально оставить несвязанные записи для хранения. Эта уязвимость зафиксирована в 2.5.3.
CVE-2026-40264OpenBao - это система управления секретами с открытым исходным кодом. Пространства имен OpenBao обеспечивают разделение с несколькими арендаторами. До версии 2.5.3 арендатор, который сливает аксессуары токенов, может отозвать или обновить свой токен привилегированным администратором в другом арендаторе. Об этом говорится в пункте v2.5.3.
Открыть в каталоге с фильтром по вендору →