← voltar
CVE-2026-39396

OpenBao has Decompression Bomb via Unbounded Copy in OCI Plugin Extraction (DoS)

CVSS 3.1 LOWEPSS 0.2%CWE-400CWE-674CWE-770
Em resumo

O OpenBao não limita a quantidade de dados ao descompactar imagens de plugins de contêineres, permitindo que atacantes criem imagens especialmente preparadas que se expandem para tamanhos enormes e preenchem o disco. A verificação de integridade acontece tarde demais para evitar o dano.

Detalhe técnico

CVE-2026-39396 é uma vulnerabilidade de decompression bomb na função ExtractPluginFromImage() do OpenBao, onde io.Copy não tem limites de bytes durante descompactação de tar de imagens OCI. Um atacante controlando o registro OCI pode servir uma imagem preparada que descompacta para tamanhos arbitrários, causando esgotamento de disco; validação SHA256 ocorre após escrita, viabilizando negação de serviço. Requer que a vítima faça pull de registro comprometido ou controlado pelo atacante.

Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenBao is an open source identity-based secrets management system. Prior to version 2.5.3, `ExtractPluginFromImage()` in OpenBao's OCI plugin downloader extracts a plugin binary from a container image by streaming decompressed tar data via `io.Copy` with no upper bound on the number of bytes written. An attacker who controls or compromises the OCI registry referenced in the victim's configuration can serve a crafted image containing a decompression bomb that decompresses to an arbitrarily large file. The SHA256 integrity check occurs after the full file is written to disk, meaning the hash mismatch is detected only after the damage (disk exhaustion) has already occurred. This allow the attacker to replace **legit plugin image** with no need to change its signature. Version 2.5.3 contains a patch.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L
Produtos afetados
openbao · openbao

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/openbao/openbao/security/advisories/GHSA-r65v-xgwc-g56j