CVE-2026-33495 in oathkeeper
Resumen
por VulDB • 2026-05-28
ORY Oathkeeper es un Proxy de Identidad y Acceso (IAP) y una API de Decisiones de Control de Acceso que autoriza las solicitudes HTTP en función de conjuntos de Reglas de Acceso. Ory Oathkeeper suele desplegarse detrás de otros componentes como CDNs, WAFs o proxies inversos. Dependiendo de la configuración, otro componente podría reenviar la solicitud al proxy Oathkeeper con un protocolo diferente (http frente a https) al de la solicitud original. Para hacer coincidir correctamente la solicitud con las reglas configuradas, Oathkeeper considera el encabezado `X-Forwarded-Proto` al evaluar las reglas. La opción de configuración `serve.proxy.trust_forwarded_headers` (que por defecto es false) determina si este y otros encabezados `X-Forwarded-*` deben ser considerados de confianza. Antes de la versión 26.2.0, Oathkeeper no respetaba adecuadamente esta configuración y siempre consideraba el encabezado `X-Forwarded-Proto`. Para que un atacante pueda abusar de esto, una instalación de Ory Oathkeeper debe tener reglas distintas para las solicitudes HTTP y HTTPS. Además, el atacante debe poder activar una regla pero no la otra. En este escenario, el atacante puede enviar la misma solicitud pero con el encabezado `X-Forwarded-Proto` para activar la otra regla. No esperamos que muchas configuraciones cumplan estas condiciones previas. La versión 26.2.0 contiene un parche. A partir de ahora, Ory Oathkeeper respetará correctamente la configuración `serve.proxy.trust_forwarded_headers`, eliminando así el escenario de ataque. Recomendamos actualizar a una versión corregida incluso si no se cumplen las condiciones previas. Como mitigación adicional, se recomienda generalmente eliminar cualquier encabezado inesperado lo antes posible cuando se maneja una solicitud, por ejemplo, en el WAF.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.