Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redos логотип

ROS-20250912-13

Опубликовано: 12 сент. 2025
Источник: redos

Описание

Множественные уязвимости openbao

Наименование уязвимого пакета

openbao

Пакет обновления

openbao-0:2.4.0-1.el7.x86_64

Версия уязвимого пакета младше

2.4.0-1

Возможные меры по устранению уязвимости

Запретить использование в ОС пакета openbao или Установить обновление для пакета(ов) openbao

Версия ОС

7.3

Архитектура ОС

x86_64

Дата публикации бюллетеня

12.09.2025

CVE-2025-54996

Идентификатор БДУ ФСТЭК России:

BDU:2025-11283

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с неправильным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить привилегии

7.2 High

CVSS3

8.3 High

CVSS2

CVE-2025-54997

Идентификатор БДУ ФСТЭК России:

BDU:2025-11282

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с обходом ограничения через подсистему аудита, манипулируя префиксами журналов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять несанкционированный код и осуществлять сетевой доступ, нарушающий предполагаемую модель безопасности

9.1 Critical

CVSS3

8.3 High

CVSS2

CVE-2025-54998

Идентификатор БДУ ФСТЭК России:

BDU:2025-11281

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с алиасингом между атрибутами псевдонимов сущностей пользователей. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальным данным

5.3 Medium

CVSS3

5 Medium

CVSS2

CVE-2025-54999

Идентификатор БДУ ФСТЭК России:

BDU:2025-11277

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с перебором пользователей из-за разницы во времени между несуществующими пользователями и пользователями с сохранёнными учётными данными. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальным данным

3.7 Low

CVSS3

2.6 Low

CVSS2

CVE-2025-55000

Идентификатор БДУ ФСТЭК России:

BDU:2025-11280

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с непредвиденной нормализацией в базовой библиотеке TOTP. Эксплуатация уязвимости может позволить нарушителю, получить доступ к конфиденциальным данным

6.5 Medium

CVSS3

6.8 Medium

CVSS2

CVE-2025-55001

Идентификатор БДУ ФСТЭК России:

BDU:2025-11279

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с использованием параметра username_as_alias=true в методе аутентификации LDAP используется дословно без нормализации. Эксплуатация уязвимости может позволить нарушителю, обойти ограничения безопасности

6.5 Medium

CVSS3

7.7 High

CVSS2

CVE-2025-55003

Идентификатор БДУ ФСТЭК России:

BDU:2025-11278

Описание уязвимости:

Уязвимость системы управления секретами и шифрованием OpenBao связана с нормализацией применяемой базовой библиотекой TOTP допускает коды, содержащие пробелы. Эксплуатация уязвимости может позволить нарушителю, обойти ограничения безопасности

5.7 Medium

CVSS3

6.8 Medium

CVSS2