关键信息 漏洞概述 漏洞名称: OpenBao Login MFA Bypass of Rate Limiting and TOTP Token Reuse CVE ID: CVE-2025-55003 严重性: 中等 (CVSS v3 基本分数: 5.7/10) 影响 受影响版本: <2.3.2 修复版本: 2.3.2 描述: OpenBao 的登录多因素认证 (MFA) 系统允许使用基于时间的一次性密码 (TOTP) 强制执行 MFA。由于底层 TOTP 库应用的规范化,接受包含空格的代码;这些空格可以绕过 MFA 方法的内部速率限制并允许重用现有的 MFA 代码。 修复措施 补丁: OpenBao v2.3.2 将修复此问题。 变通方法: 使用速率限制配额可以限制攻击者利用此漏洞的能力:https://openbao.org/api-docs/system/rate-limit-quotas/ 参考资料 此问题已披露给 HashiCorp,并且是 OpenBao 的以下票证的等效项: - https://discuss.hashicorp.com/t/hcsec-2025-19-vault-login-mfa-bypass-of-rate-limiting-and-totp-token-reuse/76038 - https://nvd.nist.gov/vuln/detail/CVE-2025-6015