آسیبپذیری CVE-2025-54997 با شدت 9.1 در نرمافزار OpenBao نسخههای 2.3.1 و پایینتر، به مهاجم دارای دسترسی Privileged API Operator امکان میدهد با دستکاری پیشوندهای لاگ (Log Prefixes) در زیرسیستم حسابرسی (Audit Subsystem)، محدودیتهای امنیتی تعریفشده برای جلوگیری از اجرای کد سیستم یا انجام ارتباطات شبکه را دور بزند.
این نقص باعث میشود مهاجم بتواند کد دلخواه اجرا کرده یا به منابع شبکهای غیرمجاز متصل شود، در حالی که این اقدامات باید برای او مسدود شده باشد. بهرهبرداری از این ضعف میتواند به افزایش سطح دسترسی، نقض کامل مدل امنیتی، و دسترسی به دادههای حساس منجر شود.
این مشکل در نسخهی 2.3.2 برطرف شده و توصیه میشود در صورت عدم امکان بهروزرسانی، دسترسی به مسیرهای sys/audit/* مسدود گردد، هرچند این روش برای کاربر ریشه (Root) محدودیت ایجاد نمیکند.
محصولات تحتتأثیر
- OpenBao نسخهی 2.3.1 و پایینتر
- استقرار روی سیستمعامل Linux
- استقرار روی سیستمعامل Windows
- محیطهای کانتینری (Docker, Kubernetes)
- محیطهای ابری (Cloud Deployments)
- استقرارهای On-Premise
توصیههای امنیتی
- بهروزرسانی فوری OpenBao به نسخهی 2.3.2 یا بالاتر
- مسدود کردن دسترسی به مسیرهای sys/audit/* برای کاربران غیرمجاز
- پایش و بررسی لاگهای زیرسیستم حسابرسی برای شناسایی رفتار غیرعادی
- اعمال محدودیتهای شبکهای برای جلوگیری از ارتباطات خروجی غیرمجاز
- استفاده از اصل کمترین دسترسی (Least Privilege) برای حسابهای API
- بررسی صحت و یکپارچگی پیکربندیهای امنیتی پس از بهروزرسانی
منبع خبر:
- 61