OpenBao существует для предоставления программного решения для управления, хранения и распространения конфиденциальных данных, включая секр…
OpenBao существует для предоставления программного решения для управления, хранения и распространения конфиденциальных данных, включая секреты, сертификаты и ключи. В версиях от 0.1.0 до 2.3.1 движок секретов TOTP OpenBao мог принимать действительные коды несколько раз, а не строго один раз. Это было вызвано неожиданной нормализацией в базовой библиотеке TOTP. Для обхода рекомендуется убедиться, что все коды сначала нормализуются перед отправкой в конечную точку OpenBao. Проверка кода TOTP является привилегированной операцией; только доверенные системы должны проверять коды [1]. Источники: - [1] https://github.com/openbao/openbao/security/advisories/GHSA-f7c3-mhj2-9pvg - [2] https://github.com/openbao/openbao/commit/183891f8d535d5b6eb3d79fda8200cade6de99e1 - [3] https://discuss.hashicorp.com/t/hcsec-2025-17-vault-totp-secrets-engine-code-reuse/76036
Продукт получает входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, которые могут быть интерпретированы как пробельные символы при передаче нижестоящему компоненту.
https://cwe.mitre.org/data/definitions/156.html →Открыть в коллекции CWE →