PT-2025-32384 · Openbao+1 · Openbao+1

Cipherboy

Publicado

2025-08-08

Atualizado

2025-09-12

CVE-2025-55003

CVSS v2.0

6.8

Média

Vetor

AV:N/AC:L/Au:S/C:C/I:N/A:N

Nome do Software Vulnerável e Versões Afetadas Versões do OpenBao 2.3.1 e inferiores

Descrição O sistema de Autenticação de Fator Múltiplo (MFA) de login do OpenBao, que utiliza Senha Única Baseada em Tempo (TOTP), aceitava códigos contendo espaços em branco devido à normalização aplicada pela biblioteca TOTP subjacente. Isso contornou a limitação de taxa interna, permitindo a reutilização de códigos MFA existentes.

Recomendações Atualize para a versão 2.3.2 para resolver este problema. Utilize cotas de limitação de taxa para limitar a exploração potencial.

Exploit

Correção

Improper Restriction of Excessive Authentication Attempts

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-307

Identificadores relacionados

BDU:2025-11278

CVE-2025-55003

GHSA-RXP7-9Q75-VJ3P

GO-2025-3856

OPENSUSE-SU-2025:15434-1

OPENSUSE-SU-2025:15460-1

SUSE-SU-2025:02912-1

Produtos afetados

Openbao

Red Os

PT-2025-32384 · Openbao+1 · Openbao+1

CVE-2025-55003

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 52