CVE-2026-39946 in OpenBao
요약
\~에 의해 VulDB • 2026. 05. 24.
OpenBao는 오픈 소스 기반의 ID 기반 비밀키 관리 시스템입니다. 버전 2.5.3 이전의 OpenBao는 PostgreSQL 데이터베이스 시크릿 엔진에서 역할(role)에 대한 권한을 회수할 때, PostgreSQL에서 제공된 스키마 이름에 대해 적절한 데이터베이스 따옴표 처리를 수행하지 않았습니다. 이로 인해 역할 권한 회수 실패가 발생하거나, 드물게 관리 사용자 권한으로 SQL 인젝션이 발생할 수 있습니다. 이 취약점은 원래 HashiCorp Vault에서 기인한 것입니다. 이 취약점은 v2.5.3에서 해결되었습니다. 우회 조치로 감사용 테이블 스키마를 검토하고, 데이터베이스 사용자가 새 스키마를 생성하거나 해당 스키마에 대한 권한을 부여하지 못하도록 보장해야 합니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.