PT-2025-32380 · Openbao+1 · Openbao+1
Cipherboy
·
Publicado
2025-08-08
·
Atualizado
2025-09-12
·
CVE-2025-54998
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do OpenBao de 0.1.0 a 2.3.1
Descrição
Atacantes poderiam contornar os mecanismos automáticos de bloqueio de usuário nos sistemas de autenticação Userpass ou LDAP do OpenBao. Isso foi causado por uma diferença no aliasing entre as atribuições de alias de entidade de usuário nas requisições pre-flight e de login completo.
Recomendações
Atualize para a versão 2.3.2 para resolver este problema.
Aplique cotas de limitação de taxa nos endpoints de autenticação.
Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openbao
Red Os