CVE-2025-66406

Improper Authorization Check for SSH Certificate Revocation

CVSS 5 MEDIUMEPSS 0.1%CWE-863

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 5EPSS 0.1%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

03 dez 2025Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

Step CA is an online certificate authority for secure, automated certificate management for DevOps. Prior to 0.29.0, there is an improper authorization check for SSH certificate revocation. This affects deployments configured with the SSHPOP provisioner. This vulnerability is fixed in 0.29.0.

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H

Produtos afetados

smallstep · certificates

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/smallstep/certificates/security/advisories/GHSA-j7c9-79x7-8hpr