CVE-2025-55299

CRÍTIC (9,4)

CVSS3: 0,0

VaulTLS és una solució moderna per gestionar certificats mTLS (mutual TLS). Abans de la versió 0.9.1, els comptes d’usuari creats a través de la interfície web d’usuari tenien una contrasenya buida però no NULL definida, i els atacants podien fer-la servir per iniciar sessió amb una contrasenya buida. Això es combina amb el fet que, anteriorment, desactivar l’inici de sessió basat en contrasenya només afectava el frontend, però encara permetia l’inici de sessió a través de l’API. Aquesta vulnerabilitat es va corregir a la versió 0.9.1.

Sistemes Afectats

• 7ritn VaulTLS < 0.9.1

Remediació
Actualitzeu a la versió 0.9.1 o posterior. Vegeu-ne les referències.

Referències

• https://github.com/7ritn/VaulTLS/security/advisories/GHSA-pjfr-pj3h-cw8m
• https://github.com/7ritn/VaulTLS/commit/6ac0a43a768f1753f6889ba43f914e773a4b45c0
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/55xxx/CVE-2025-55299.json