CVE-2026-33495 in oathkeeper
الملخص
بحسب VulDB • 03/06/2026
ORY Oathkeeper هو وكيل هوية وصول (IAP) وواجهة برمجة تطبيقات لقرارات التحكم في الوصول تقوم بتفويض طلبات HTTP بناءً على مجموعات من قواعد الوصول. غالبًا ما يتم نشر ORY Oathkeeper خلف مكونات أخرى مثل شبكات توصيل المحتوى (CDNs)، وجدران الحماية لتطبيقات الويب (WAFs)، أو الوكيل العكسي (reverse proxies). اعتمادًا على الإعداد، قد يقوم مكون آخر بتوجيه الطلب إلى وكيل Oathkeeper باستخدام بروتوكول مختلف عن البروتوكول المستخدم في الطلب الأصلي (http مقابل https). لمطابقة الطلب بشكل صحيح مع القواعد المكونة، يأخذ Oathkeeper بعين الاعتبار رأس `X-Forwarded-Proto` عند تقييم القواعد. الخيار التكويني `serve.proxy.trust_forwarded_headers` (الافتراضي هو false) يحدد ما إذا كان ينبغي الوثوق بهذا الرأس ورؤوس أخرى من نوع `X-Forwarded-*`. قبل الإصدار 26.2.0، لم يحترم Oathkeeper هذا الإعداد بشكل صحيح وكان ينظر دائمًا إلى رأس `X-Forwarded-Proto`. لكي يتمكن المهاجم من استغلال هذه الثغرة، يجب أن يكون لتثبيت ORY Oathkeeper قواعد مميزة لطلبات HTTP وHTTPS. بالإضافة إلى ذلك، يحتاج المهاجم إلى القدرة على تفعيل قاعدة واحدة دون الأخرى. في هذا السيناريو، يمكن للمهاجم إرسال نفس الطلب ولكن مع رأس `X-Forwarded-Proto` لتفعيل القاعدة الأخرى. لا نتوقع أن تستوفي العديد من الإعدادات هذه الشروط المسبقة. يحتوي الإصدار 26.2.0 على تصحيح للثغرة. سيحترم ORY Oathkeeper بشكل صحيح التكوين `serve.proxy.trust_forwarded_headers` في المستقبل، مما يلغي سيناريو الهجوم هذا. نوصي بالترقية إلى إصدار ثابت حتى لو لم تتحقق الشروط المسبقة. كإجراء تخفيف إضافي، يُنصح عمومًا بتجاهل أي رؤوس غير متوقعة بأقصى سرعة ممكنة عند معالجة الطلب، على سبيل المثال في جدار الحماية لتطبيقات الويب (WAF).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.