CVE-2026-33495 in oathkeeperالمعلومات

الملخص

بحسب VulDB • 03/06/2026

ORY Oathkeeper هو وكيل هوية وصول (IAP) وواجهة برمجة تطبيقات لقرارات التحكم في الوصول تقوم بتفويض طلبات HTTP بناءً على مجموعات من قواعد الوصول. غالبًا ما يتم نشر ORY Oathkeeper خلف مكونات أخرى مثل شبكات توصيل المحتوى (CDNs)، وجدران الحماية لتطبيقات الويب (WAFs)، أو الوكيل العكسي (reverse proxies). اعتمادًا على الإعداد، قد يقوم مكون آخر بتوجيه الطلب إلى وكيل Oathkeeper باستخدام بروتوكول مختلف عن البروتوكول المستخدم في الطلب الأصلي (http مقابل https). لمطابقة الطلب بشكل صحيح مع القواعد المكونة، يأخذ Oathkeeper بعين الاعتبار رأس `X-Forwarded-Proto` عند تقييم القواعد. الخيار التكويني `serve.proxy.trust_forwarded_headers` (الافتراضي هو false) يحدد ما إذا كان ينبغي الوثوق بهذا الرأس ورؤوس أخرى من نوع `X-Forwarded-*`. قبل الإصدار 26.2.0، لم يحترم Oathkeeper هذا الإعداد بشكل صحيح وكان ينظر دائمًا إلى رأس `X-Forwarded-Proto`. لكي يتمكن المهاجم من استغلال هذه الثغرة، يجب أن يكون لتثبيت ORY Oathkeeper قواعد مميزة لطلبات HTTP وHTTPS. بالإضافة إلى ذلك، يحتاج المهاجم إلى القدرة على تفعيل قاعدة واحدة دون الأخرى. في هذا السيناريو، يمكن للمهاجم إرسال نفس الطلب ولكن مع رأس `X-Forwarded-Proto` لتفعيل القاعدة الأخرى. لا نتوقع أن تستوفي العديد من الإعدادات هذه الشروط المسبقة. يحتوي الإصدار 26.2.0 على تصحيح للثغرة. سيحترم ORY Oathkeeper بشكل صحيح التكوين `serve.proxy.trust_forwarded_headers` في المستقبل، مما يلغي سيناريو الهجوم هذا. نوصي بالترقية إلى إصدار ثابت حتى لو لم تتحقق الشروط المسبقة. كإجراء تخفيف إضافي، يُنصح عمومًا بتجاهل أي رؤوس غير متوقعة بأقصى سرعة ممكنة عند معالجة الطلب، على سبيل المثال في جدار الحماية لتطبيقات الويب (WAF).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

20/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353672

EPSS

0.00233

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!