CVE-2026-32811 in heimdall
Zusammenfassung
von VulDB • 20.05.2026
Heimdall ist ein cloud-nativer Identity-Aware-Proxy und ein Dienst für Zugriffskontrollentscheidungen. Bei der Verwendung von Heimdall im envoy gRPC-Entscheidungs-API-Modus mit den Versionen 0.7.0-alpha bis 0.17.10 ermöglicht die falsche Codierung der Query-URL-Zeichenfolge das Umgehen von Regeln mit Nicht-Wildcard-Pfadausdrücken. Envoy teilt die angeforderte URL in Teile auf und sendet diese Teile einzeln an Heimdall. Obwohl Query und Pfad in der API vorhanden sind, ist das Query-Feld so dokumentiert, dass es immer leer ist, und die URL-Query ist im Pfad-Feld enthalten. Die Implementierung verwendet die URL-Bibliothek von Go, um die URL zu rekonstruieren, wodurch automatisch Sonderzeichen im Pfad codiert werden. Infolgedessen wird ein Parameter wie /mypath?foo=bar für den Pfad in /mypath%3Ffoo=bar maskiert. Anschließend stimmt eine Regel, die auf /mypath abzielt, nicht mehr überein und wird umgangen. Das Problem kann nur zu unbeabsichtigtem Zugriff führen, wenn Heimdall mit einer Standardregel „Allow All“ (Alle erlauben) konfiguriert ist. Seit Version 0.16.0 erzwingt Heimdall sichere Standardwerte und weigert sich, mit einer solchen Konfiguration zu starten, es sei denn, diese Durchsetzung wird explizit deaktiviert, z. B. über --insecure-skip-secure-default-rule-enforcement oder das umfassendere Flag --insecure. Dieses Problem wurde in Version 0.17.11 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.