CVE-2026-45091: Витік TOTP секрету в sealed-env через незашифрований JWS payload

Критична вразливість CVE-2026-45091 у sealed-env дозволяє отримати TOTP секрет через незашифрований JWS payload токенів розблокування.
CVE-2026-45091CVSS 9.1Containers

CVE-2026-45091: Витік TOTP секрету в sealed-env через незашифрований JWS payload

Критична вразливість CVE-2026-45091 у sealed-env дозволяє отримати TOTP секрет через незашифрований JWS payload токенів розблокування.

CVSS
9.1 CRITICAL
EPSS
24.51%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У sealed-env (версії 0.1.0-alpha.1 до 0.1.0-alpha.3) у корпоративному режимі TOTP секрет оператора був вбудований у незашифрований JWS payload кожного токена розблокування. Це дозволяло будь-кому, хто мав доступ до токена (логи CI, дампи середовища контейнерів, опис pod у Kubernetes тощо), отримати секрет у відкритому вигляді.

Бізнес-вплив

Ця вразливість критично впливає на безпеку контейнерних середовищ, оскільки компрометація TOTP секрету може призвести до обходу багатофакторної аутентифікації. Це підвищує ризик несанкціонованого доступу до систем, що використовують sealed-env для управління секретами. Операторам слід терміново оцінити використання уразливих версій і вжити заходів для захисту інфраструктури.

Рекомендовані дії адміністратора

Рекомендується оновити sealed-env до версії 0.1.0-alpha.4 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до логів і середовищ, де можуть зберігатися токени, провести аудит журналів на предмет витоків, а також переглянути політики безпеки для зменшення впливу. Пріоритезуйте оновлення та моніторинг систем, що використовують sealed-env.

Джерела