CVE-2026-45091: Wyciekanie sekretu TOTP w sealed-env w trybie enterprise
Krytyczna luka w sealed-env ujawnia sekret TOTP w tokenach unseal. Zalecana szybka aktualizacja do wersji 0.1.0-alpha.4.
- CVSS
- 9.1 CRITICAL
- EPSS
- 24.51%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Biblioteka sealed-env w wersjach 0.1.0-alpha.1 do 0.1.0-alpha.3 w trybie enterprise ujawniała sekret TOTP operatora w niezaszyfrowanym ładunku JWS każdego tokena unseal. Każdy, kto mógł zobaczyć token, mógł odczytać sekret w postaci jawnej.
Wpływ biznesowy
Ujawnienie sekretu TOTP umożliwia potencjalnym atakującym obejście mechanizmów uwierzytelniania wieloskładnikowego, co może prowadzić do nieautoryzowanego dostępu do systemów zarządzanych przez sealed-env. Operatorzy infrastruktury powinni traktować tę lukę jako krytyczną i pilnie zweryfikować używane wersje biblioteki oraz ograniczyć ekspozycję tokenów w logach i środowiskach.
Rekomendowane działania administratora
Zaleca się natychmiastową aktualizację sealed-env do wersji 0.1.0-alpha.4 lub nowszej, w której luka została załatana. Dodatkowo należy przejrzeć i ograniczyć dostęp do logów i środowisk, gdzie mogą być widoczne tokeny unseal, oraz monitorować podejrzane aktywności związane z uwierzytelnianiem TOTP.