CVE-2026-33494 in oathkeeperinformación

Resumen

por VulDB • 2026-05-14

ORY Oathkeeper es un Proxy de Identidad y Acceso (IAP) y una API de Decisiones de Control de Acceso que autoriza las solicitudes HTTP en función de conjuntos de Reglas de Acceso. Las versiones anteriores a la 26.2.0 son vulnerables a un bypass de autorización mediante traversal de rutas HTTP. Un atacante puede crear una URL que contenga secuencias de traversal de rutas (por ejemplo, `/public/../admin/secrets`) que se resuelve a una ruta protegida después de la normalización, pero que coincide con una regla permisiva porque se utiliza la ruta sin normalizar durante la evaluación de las reglas. La versión 26.2.0 contiene un parche.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-20

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353689

CPE

listo

EPSS

0.00519

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!