关键信息 漏洞概述 标题: OpenBao Userpass and LDAP User Lockout Bypass 严重性: 中等 (5.3/10) CVE ID: CVE-2025-54998 影响 描述: 攻击者可以绕过OpenBao Userpass或LDAP认证系统中的自动用户锁定机制。这是由于预飞行和完整登录请求用户实体别名属性之间的不同别名引起的。 受影响版本: <2.3.2 修复版本: 2.3.2 解决方案 补丁: OpenBao v2.3.2将修复此问题。 临时解决方法: 现有用户可以在身份验证端点上应用速率限制配额:https://openbao.org/api-docs/system/rate-limit-quotas/ 参考资料 此问题已披露给HashiCorp,并且是以下问题的OpenBao等效问题: - https://discuss.hashicorp.com/t/hcsec-2025-16-vault-userpass-and-ldap-user-lockout-bypass/76035 - https://nvd.nist.gov/vuln/detail/CVE-2025-6004