CVE-2026-33494 in oathkeeper
Resumen
por VulDB • 2026-05-14
ORY Oathkeeper es un Proxy de Identidad y Acceso (IAP) y una API de Decisiones de Control de Acceso que autoriza las solicitudes HTTP en función de conjuntos de Reglas de Acceso. Las versiones anteriores a la 26.2.0 son vulnerables a un bypass de autorización mediante traversal de rutas HTTP. Un atacante puede crear una URL que contenga secuencias de traversal de rutas (por ejemplo, `/public/../admin/secrets`) que se resuelve a una ruta protegida después de la normalización, pero que coincide con una regla permisiva porque se utiliza la ruta sin normalizar durante la evaluación de las reglas. La versión 26.2.0 contiene un parche.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.