Vulnerabilidad en OpenBao (CVE-2025-54999)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/08/2025
Última modificación:
12/08/2025
Descripción
OpenBao existe para proporcionar una solución de software que permite gestionar, almacenar y distribuir datos confidenciales, como secretos, certificados y claves. En las versiones 0.1.0 a 2.3.1, al usar el método de autenticación userpass de OpenBao, la enumeración de usuarios era posible debido a la diferencia de tiempo entre usuarios inexistentes y usuarios con credenciales almacenadas. Esto es independiente de si las credenciales proporcionadas eran válidas para el usuario en cuestión. Este problema se solucionó en la versión 2.3.2. Para solucionar este problema, los usuarios pueden usar otro método de autenticación o aplicar cuotas de limitación de velocidad para limitar el número de solicitudes en un período determinado: https://openbao.org/api-docs/system/rate-limit-quotas/.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openbao:openbao:*:*:*:*:*:*:*:* | 0.1.0 (incluyendo) | 2.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://discuss.hashicorp.com/t/hcsec-2025-15-timing-side-channel-in-vault-s-userpass-auth-method/76034
- https://discuss.hashicorp.com/t/hcsec-2025-21-vault-user-enumeration-in-userpass-auth-method/76095
- https://github.com/openbao/openbao/commit/4d9b5d3d6486ab9fbd5b644173fa0097015d6626
- https://github.com/openbao/openbao/security/advisories/GHSA-hh28-h22f-8357