CVE-2025-55299
KrytyczneStreszczenie
VaulTLS to nowoczesne rozwiązanie do zarządzania certyfikatami mTLS (wzajemne TLS). W wersjach przed 0.9.1, konta użytkowników utworzone przez interfejs webowy miały ustawione puste, ale nie NULL hasło, co pozwalało atakującym na logowanie się bez hasła.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do systemu, ponieważ atakujący mogą wykorzystać lukę do logowania się na konta użytkowników bez znajomości hasła.
Rekomendacja
Zaleca się aktualizację do wersji 0.9.1 lub nowszej, aby usunąć tę podatność oraz zapewnić, że logowanie przez API również będzie odpowiednio zabezpieczone.
Oryginalny opis (angielski, źródło NVD)
VaulTLS is a modern solution for managing mTLS (mutual TLS) certificates. Prior to 0.9.1, user accounts created through the User web UI have an empty but not NULL password set, attackers can use this to login with an empty password. This is combined with that fact, that previously disabling the password based login only effected the frontend, but still allowed login via the API. This vulnerability is fixed in 0.9.1.

