CVE-2026-33757 in OpenBaoinformation

Résumé

par VulDB • 15/06/2026

OpenBao est un système de gestion des secrets basé sur l'identité, open source. Avant la version 2.5.2, OpenBao ne demande pas de confirmation à l'utilisateur lors de la connexion via JWT/OIDC et lorsqu'un rôle a `callback_mode` défini sur `direct`. Cela permet à un attaquant de lancer une demande d'authentification et d'effectuer un « phishing à distance » en incitant la victime à visiter l'URL, ce qui entraîne une connexion automatique à la session de l'attaquant. Bien que basé sur le flux de code d'autorisation (authorization code flow), le mode `direct` effectue un rappel directement vers l'API et permet à un attaquant d'interroger (poll) l'obtention d'un jeton OpenBao jusqu'à son émission. La version 2.5.2 inclut un écran de confirmation supplémentaire pour les connexions de type `direct`, qui nécessite une interaction manuelle de l'utilisateur pour finaliser l'authentification. Ce problème peut être contourné soit en supprimant tous les rôles ayant `callback_mode=direct`, soit en imposant une confirmation pour chaque session du côté de l'émetteur de jetons pour l'ID Client utilisé par OpenBao.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353927

CPE

prêt

EPSS

0.00411

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!