CVE-2026-33495 in oathkeeper
Zusammenfassung
von VulDB • 28.05.2026
ORY Oathkeeper ist ein Identity & Access Proxy (IAP) und eine Access Control Decision API, die HTTP-Anfragen basierend auf Sätzen von Access Rules autorisiert. Ory Oathkeeper wird häufig hinter anderen Komponenten wie CDNs, WAFs oder Reverse Proxies bereitgestellt. Je nach Setup kann eine andere Komponente die Anfrage mit einem anderen Protokoll (http vs. https) als der ursprünglichen Anfrage an den Oathkeeper-Proxy weiterleiten. Um die Anfrage korrekt mit den konfigurierten Regeln abzugleichen, berücksichtigt Oathkeeper den `X-Forwarded-Proto`-Header bei der Auswertung der Regeln. Die Konfigurationsoption `serve.proxy.trust_forwarded_headers` (Standardwert ist false) regelt, ob dieser und andere `X-Forwarded-*`-Header vertraut werden sollen. Vor Version 26.2.0 hat Oathkeeper diese Konfiguration nicht ordnungsgemäß beachtet und den `X-Forwarded-Proto`-Header immer berücksichtigt. Damit ein Angreifer dies ausnutzen kann, muss eine Installation von Ory Oathkeeper über unterschiedliche Regeln für HTTP- und HTTPS-Anfragen verfügen. Außerdem muss der Angreifer in der Lage sein, die eine Regel auszulösen, aber nicht die andere. In diesem Szenario kann der Angreifer dieselbe Anfrage senden, jedoch mit dem `X-Forwarded-Proto`-Header, um die andere Regel auszulösen. Wir gehen nicht davon aus, dass viele Konfigurationen diese Voraussetzungen erfüllen. Version 26.2.0 enthält einen Patch. Ory Oathkeeper wird die Konfiguration `serve.proxy.trust_forwarded_headers` in Zukunft korrekt beachten, wodurch das Angriffsszenario eliminiert wird. Wir empfehlen ein Upgrade auf eine behobene Version, auch wenn die Voraussetzungen nicht erfüllt sind. Als zusätzliche Maßnahme wird im Allgemeinen empfohlen, unerwartete Header so früh wie möglich zu verwerfen, wenn eine Anfrage verarbeitet wird, z. B. in der WAF.
Once again VulDB remains the best source for vulnerability data.