关键漏洞信息 漏洞标题 Privileged OpenBao Operator May Execute Code on the Underlying Host 严重性 Critical CVSS v3 base metrics: 9.1 / 10 影响 受影响版本: <2.3.2 修复版本: 2.3.2 描述: 在某些威胁模型下,具有特权API访问权限的OpenBao操作员可能不是系统管理员,因此通常缺乏更新二进制文件或在系统上执行代码的能力。此外,特权API操作员应该无法在OpenBao执行的环境中对任意主机执行TCP连接。API驱动的审计子系统授予特权API操作员在攻击者控制的日志前缀下执行这两种操作的能力。应限制对这些端点的访问。 修复措施 补丁: OpenBao v2.3.2将修复此问题。 解决方案 变通方法: 用户可以通过具有明确拒绝授权的策略来拒绝对 接口(带有 和 权限)的所有访问。这不会限制root级别的操作员,但对于他们来说没有变通方法。 参考: - HashiCorp讨论 - NVD详细信息 弱点 CVE ID: CVE-2025-54997 CVSS v3.1: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 弱点: No CWEs