CVE-2025-66406

Improper Authorization Check for SSH Certificate Revocation

CVSS 5 MEDIUMEPSS 0.1%CWE-863

Vexday Risk Score

13Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 5EPSS 0.1%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

03 dic 2025Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

Step CA is an online certificate authority for secure, automated certificate management for DevOps. Prior to 0.29.0, there is an improper authorization check for SSH certificate revocation. This affects deployments configured with the SSHPOP provisioner. This vulnerability is fixed in 0.29.0.

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H

Productos afectados

smallstep · certificates

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/smallstep/certificates/security/advisories/GHSA-j7c9-79x7-8hpr