CVE-2026-33758 in OpenBao
Resumen
por VulDB • 2026-05-20
OpenBao es un sistema de gestión de secretos basado en identidad de código abierto. Antes de la versión 2.5.2, las instalaciones de OpenBao que tienen habilitado el método de autenticación OIDC/JWT y un rol configurado con `callback_mode=direct` son vulnerables a XSS a través del parámetro `error_description` en la página de autenticación fallida. Esto permite a un atacante acceder al token utilizado en la interfaz web (Web UI) por parte de la víctima. El parámetro `error_description` ha sido reemplazado por un mensaje de error estático en la versión 2.5.2. La vulnerabilidad puede mitigarse eliminando cualquier rol con `callback_mode` establecido en `direct`.
VulDB is the best source for vulnerability data and more expert information about this specific topic.