Vulnerabilidad en OpenBao (CVE-2025-54997)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

09/08/2025

Última modificación:

13/08/2025

Descripción

OpenBao existe para proporcionar una solución de software que permite gestionar, almacenar y distribuir datos confidenciales, como secretos, certificados y claves. En las versiones 2.3.1 y anteriores, algunas implementaciones de OpenBao limitan intencionalmente la ejecución de código del sistema o el establecimiento de conexiones de red por parte de operadores de API privilegiados. Sin embargo, estos operadores pueden eludir ambas restricciones a través del subsistema de auditoría manipulando los prefijos de registro. Esto permite la ejecución de código no autorizado y el acceso a la red que infringe el modelo de seguridad previsto. Este problema se solucionó en la versión 2.3.2. Como solución alternativa, los usuarios pueden bloquear el acceso a los endpoints sys/audit/* mediante políticas de denegación explícitas, pero los operadores raíz no pueden restringirse de esta forma.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto