CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-55299

Critical
Published: Translated: NVD NIST

Summary

VaulTLS to nowoczesne rozwiązanie do zarządzania certyfikatami mTLS (wzajemne TLS). W wersjach przed 0.9.1, konta użytkowników utworzone przez interfejs webowy miały ustawione puste, ale nie NULL hasło, co pozwalało atakującym na logowanie się bez hasła.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do systemu, ponieważ atakujący mogą wykorzystać lukę do logowania się na konta użytkowników bez znajomości hasła.

Recommendation

Zaleca się aktualizację do wersji 0.9.1 lub nowszej, aby usunąć tę podatność oraz zapewnić, że logowanie przez API również będzie odpowiednio zabezpieczone.

Original NVD description (English source)

VaulTLS is a modern solution for managing mTLS (mutual TLS) certificates. Prior to 0.9.1, user accounts created through the User web UI have an empty but not NULL password set, attackers can use this to login with an empty password. This is combined with that fact, that previously disabling the password based login only effected the frontend, but still allowed login via the API. This vulnerability is fixed in 0.9.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS