CVE-2026-33495 in oathkeeper
Résumé
par VulDB • 28/05/2026
ORY Oathkeeper est un proxy d'identité et d'accès (IAP) ainsi qu'une API de décision de contrôle d'accès qui autorise les requêtes HTTP en fonction d'ensembles de règles d'accès. Ory Oathkeeper est souvent déployé derrière d'autres composants tels que des CDN, des WAF ou des proxies inverses. Selon la configuration, un autre composant peut acheminer la requête vers le proxy Oathkeeper en utilisant un protocole différent (http vs. https) de celui de la requête originale. Afin de faire correspondre correctement la requête aux règles configurées, Oathkeeper prend en compte l'en-tête `X-Forwarded-Proto` lors de l'évaluation des règles. L'option de configuration `serve.proxy.trust_forwarded_headers` (par défaut à false) détermine si cet en-tête et les autres en-têtes `X-Forwarded-*` doivent être considérés comme fiables. Avant la version 26.2.0, Oathkeeper ne respectait pas correctement cette configuration et prenait toujours en compte l'en-tête `X-Forwarded-Proto`. Pour qu'un attaquant puisse exploiter cette faille, une installation d'Ory Oathkeeper doit disposer de règles distinctes pour les requêtes HTTP et HTTPS. De plus, l'attaquant doit être capable de déclencher l'une des règles mais pas l'autre. Dans ce scénario, l'attaquant peut envoyer la même requête mais avec l'en-tête `X-Forwarded-Proto` afin de déclencher l'autre règle. Nous ne nous attendons pas à ce que de nombreuses configurations remplissent ces conditions préalables. La version 26.2.0 contient un correctif. Ory Oathkeeper respectera correctement la configuration `serve.proxy.trust_forwarded_headers` à l'avenir, éliminant ainsi le scénario d'attaque. Nous recommandons de mettre à niveau vers une version corrigée même si les conditions préalables ne sont pas remplies. À titre de mitigation supplémentaire, il est généralement recommandé de supprimer tout en-tête inattendu dès que possible lors du traitement d'une requête, par exemple dans le WAF.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.