概述

CVE-2025-62705是一个中等严重程度的漏洞，影响OpenBao开源身份认证密钥管理系统。该漏洞导致审计日志中敏感字节字段未正确脱敏。

漏洞描述

OpenBao是一个开源的基于身份认证的密钥管理系统。在2.4.2版本之前，当相关子系统发送[]byte响应参数而非字符串时，OpenBao的审计日志未能适当脱敏字段。

这包括但不限于：

• 使用encoding=base64的sys/raw子系统，所有数据都会未经脱敏直接输出到审计日志
• Transit子系统在使用派生的Ed25519密钥执行签名操作时，会将公钥泄露到审计日志

该问题已在OpenBao 2.4.2版本中修复。

技术细节

受影响产品

目前尚未记录具体的受影响产品版本信息。

CVSS评分

• 评分：5.7（中等）
• 版本：CVSS 4.0
• 攻击向量：网络
• 攻击复杂度：低
• 权限要求：高
• 用户交互：需要

解决方案

1. 将OpenBao升级到2.4.2或更高版本
2. 验证审计日志配置和脱敏设置
3. 检查审计日志中是否存在敏感数据暴露

关联信息

CWE分类

• CWE-532：将敏感信息插入日志文件

CAPEC攻击模式

• CAPEC-215：用于应用程序映射的模糊测试

公开利用

GitHub上已有1个公开的PoC/利用代码可用。

时间线

• 发布日期：2025年10月22日
• 最后修改：2025年10月22日
• 远程利用：是

参考链接

• https://github.com/openbao/openbao/commit/cc2c476bac66e1d94776c2629793daec3af625f8
• https://github.com/openbao/openbao/security/advisories/GHSA-rc54-2g2c-g36g