Vulnerabilidad en OpenBao (CVE-2025-52894)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

25/06/2025

Última modificación:

26/06/2025

Descripción

OpenBao existe para proporcionar una solución de software que permite gestionar, almacenar y distribuir datos confidenciales, como secretos, certificados y claves. En versiones anteriores a la v2.3.0, OpenBao permitía a un atacante realizar cancelaciones no autenticadas ni auditadas de operaciones de regeneración de claves de raíz y de recuperación, lo que provocaba una denegación de servicio. En OpenBao v2.2.0 y posteriores, la configuración manual de la opción `disable_unauthed_rekey_endpoints=true` permite a un operador denegar el acceso a estos endpoints poco utilizados en escuchas globales. Hay un parche disponible en el commit fe75468822a22a88318c6079425357a02ae5b77b. En una futura versión de OpenBao, anunciada en su sitio web, los fabricantees la configurarán como `true` para todos los usuarios y ofrecerán una alternativa autenticada. Como solución alternativa, si un proxy activo o un balanceador de carga se encuentra frente a OpenBao, un operador puede rechazar solicitudes a estos endpoints desde rangos de IP no autorizados.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Vulnerabilidad en OpenBao (CVE-2025-52894)

Descripción

Impacto

Referencias a soluciones, herramientas e información