OpenBaoにおける複数の脆弱性
| Title |
OpenBaoにおける複数の脆弱性
|
| Summary |
OpenBaoはオープンソースのIDベースのシークレット管理システムです。バージョン2.5.3以前のOpenBaoでは、OCIプラグインダウンローダーの`ExtractPluginFromImage()`関数がコンテナイメージからプラグインバイナリを解凍したtarデータを`io.Copy`でストリーミングし、抽出していましたが、書き込まれるバイト数に上限がありませんでした。被害者の設定で参照されるOCIレジストリを攻撃者が制御または侵害した場合、解凍時に任意の大きさのファイルになる解凍爆弾を含む細工されたイメージを提供できます。SHA256の整合性チェックはファイルがディスクに完全に書き込まれた後に行われるため、ハッシュ不一致の検出はディスクの枯渇などの損傷が発生した後になります。これにより攻撃者は署名を変更することなく、正当なプラグインイメージを置き換えることが可能でした。本問題はバージョン2.5.3で修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 21, 2026, midnight |
| Registration Date |
May 7, 2026, 12:05 p.m. |
| Last Update |
May 7, 2026, 12:05 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月07日]
掲載 |
May 7, 2026, 12:05 p.m. |
NVD Vulnerability Information
CVE-2026-39396
| Summary |
OpenBao is an open source identity-based secrets management system. Prior to version 2.5.3, `ExtractPluginFromImage()` in OpenBao's OCI plugin downloader extracts a plugin binary from a container image by streaming decompressed tar data via `io.Copy` with no upper bound on the number of bytes written. An attacker who controls or compromises the OCI registry referenced in the victim's configuration can serve a crafted image containing a decompression bomb that decompresses to an arbitrarily large file. The SHA256 integrity check occurs after the full file is written to disk, meaning the hash mismatch is detected only after the damage (disk exhaustion) has already occurred. This allow the attacker to replace **legit plugin image** with no need to change its signature. Version 2.5.3 contains a patch.
|
| Publication Date |
April 21, 2026, 10:16 a.m. |
| Registration Date |
April 25, 2026, 4:02 a.m. |
| Last Update |
April 22, 2026, 5:16 a.m. |
Related information, measures and tools
Common Vulnerabilities List