CVE-2026-45091: Wyciekanie sekretu TOTP w sealed-env w trybie enterprise

Krytyczna luka w sealed-env ujawnia sekret TOTP w tokenach unseal. Zalecana szybka aktualizacja do wersji 0.1.0-alpha.4.
CVE-2026-45091CVSS 9.1Containers

CVE-2026-45091: Wyciekanie sekretu TOTP w sealed-env w trybie enterprise

Krytyczna luka w sealed-env ujawnia sekret TOTP w tokenach unseal. Zalecana szybka aktualizacja do wersji 0.1.0-alpha.4.

CVSS
9.1 CRITICAL
EPSS
24.51%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Biblioteka sealed-env w wersjach 0.1.0-alpha.1 do 0.1.0-alpha.3 w trybie enterprise ujawniała sekret TOTP operatora w niezaszyfrowanym ładunku JWS każdego tokena unseal. Każdy, kto mógł zobaczyć token, mógł odczytać sekret w postaci jawnej.

Wpływ biznesowy

Ujawnienie sekretu TOTP umożliwia potencjalnym atakującym obejście mechanizmów uwierzytelniania wieloskładnikowego, co może prowadzić do nieautoryzowanego dostępu do systemów zarządzanych przez sealed-env. Operatorzy infrastruktury powinni traktować tę lukę jako krytyczną i pilnie zweryfikować używane wersje biblioteki oraz ograniczyć ekspozycję tokenów w logach i środowiskach.

Rekomendowane działania administratora

Zaleca się natychmiastową aktualizację sealed-env do wersji 0.1.0-alpha.4 lub nowszej, w której luka została załatana. Dodatkowo należy przejrzeć i ograniczyć dostęp do logów i środowisk, gdzie mogą być widoczne tokeny unseal, oraz monitorować podejrzane aktywności związane z uwierzytelnianiem TOTP.

Źródła