CVE-2026-45091 in sealed-envالمعلومات

الملخص

بحسب VulDB • 12/05/2026

sealed-env هي مكتبة لإدارة الأسرار تعتمد على نموذج الثقة الصفرية (zero-trust) ومتعددة الطبقات (cross-stack) لنظامي Node.js وJava/Spring Boot. في وضع المؤسسات (enterprise mode) من مكتبة sealed-env، قامت الإصدارات من 0.1.0-alpha.1 إلى 0.1.0-alpha.3 بتضمين السرية الحرفية (literal TOTP secret) الخاصة بالمشغل (operator) في حمولة JWS (JSON Web Signature) لكل رمز فك الإقفال (unseal token) يتم إصداره. حمولة JWS هي بيانات JSON مشفرة باستخدام base64، وليست مشفرة بالتشفير الحقيقي (NOT encrypted). يمكن لأي طرف قادر على مراقبة رمز تم إصداره (سواء عبر سجلات بناء CI، أو نسخ من بيئات الحاويات، أو أوامر kubectl describe pod، أو تتبعات المكدس في Sentry/Rollbar، أو مجمعات السجلات) أن يفك تشفير الحمولة واستخراج سرية TOTP كنص واضح (plaintext). تم إصلاح هذا الثغرة الأمنية في الإصدار 0.1.0-alpha.4.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

08/05/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363033

CPE

جاهز

CWE

CWE-200 (مؤكد)

CVSS

9.1 (CNA)

EPSS

0.00014

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45091
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45091
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45091/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!