一、 漏洞 CVE-2025-62705 基础信息
漏洞信息
                                        # OpenBao Vault 日志泄露漏洞

## 概述

OpenBao 是一个开源的基于身份的密钥管理系统。在版本 2.4.2 之前,其审计日志在某些情况下未能正确脱敏敏感字段。

## 影响版本

受影响版本:`< 2.4.2`

## 细节

当相关子系统返回 `[]byte` 类型的响应参数而非字符串时,审计日志没有正确进行字段脱敏。  
具体场景包括但不限于:

- 使用 `sys/raw` 接口并启用 `encoding=base64` 时,数据未脱敏即写入审计日志。
- Transit 子系统在使用派生的 Ed25519 密钥执行签名操作时,会将公钥明文记录到审计日志中。

## 影响

敏感数据(如原始密钥、密文等)可能以明文形式被写入审计日志,存在信息泄露风险。  

## 修复情况

该问题已在版本 `2.4.2` 中完成修复,审计日志现在会正确脱敏敏感字段。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
OpenBao and Vault Leak []byte Fields in Audit Logs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenBao is an open source identity-based secrets management system. Prior to version 2.4.2, OpenBao's audit log did not appropriately redact fields when relevant subsystems sent []byte response parameters rather than strings. This includes, but is not limited to sys/raw with use of encoding=base64, all data would be emitted unredacted to the audit log, and Transit, when performing a signing operation with a derived Ed25519 key, would emit public keys to the audit log. This issue has been patched in OpenBao 2.4.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenBao 日志信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenBao是OpenBao开源的一个敏感数据管理软件。 OpenBao 2.4.2之前版本存在日志信息泄露漏洞,该漏洞源于审计日志未正确编辑字节数组响应参数,可能导致敏感数据泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
日志信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62705 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62705 的情报信息
四、漏洞 CVE-2025-62705 的评论

暂无评论

发表评论