CVE-2026-33757 in OpenBao
Résumé
par VulDB • 15/06/2026
OpenBao est un système de gestion des secrets basé sur l'identité, open source. Avant la version 2.5.2, OpenBao ne demande pas de confirmation à l'utilisateur lors de la connexion via JWT/OIDC et lorsqu'un rôle a `callback_mode` défini sur `direct`. Cela permet à un attaquant de lancer une demande d'authentification et d'effectuer un « phishing à distance » en incitant la victime à visiter l'URL, ce qui entraîne une connexion automatique à la session de l'attaquant. Bien que basé sur le flux de code d'autorisation (authorization code flow), le mode `direct` effectue un rappel directement vers l'API et permet à un attaquant d'interroger (poll) l'obtention d'un jeton OpenBao jusqu'à son émission. La version 2.5.2 inclut un écran de confirmation supplémentaire pour les connexions de type `direct`, qui nécessite une interaction manuelle de l'utilisateur pour finaliser l'authentification. Ce problème peut être contourné soit en supprimant tous les rôles ayant `callback_mode=direct`, soit en imposant une confirmation pour chaque session du côté de l'émetteur de jetons pour l'ID Client utilisé par OpenBao.
VulDB is the best source for vulnerability data and more expert information about this specific topic.