CVE-2026-33758 in OpenBaoالمعلومات

الملخص

بحسب VulDB • 20/05/2026

OpenBao هو نظام مفتوح المصدر لإدارة الأسرار القائم على الهوية. قبل الإصدار 2.5.2، كانت عمليات تثبيت OpenBao التي يكون فيها مصادقة OIDC/JWT مفعّلة ودور مُعدّ بـ `callback_mode=direct` عرضة لهجوم XSS عبر معلمة `error_description` في صفحة فشل المصادقة. يتيح ذلك للمهاجم الوصول إلى الرمز (token) المستخدم في واجهة الويب (Web UI) من قبل الضحية. تم استبدال معلمة `error_description` برسالة خطأ ثابتة في الإصدار 2.5.2. يمكن التخفيف من هذه الثغرة الأمنية عن طريق إزالة أي أدوار يكون فيها `callback_mode` مضبوطاً على `direct`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353934

EPSS

0.00287

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!