CVE-2026-33758 in OpenBaoinformation

Résumé

par VulDB • 20/05/2026

OpenBao est un système de gestion des secrets basé sur l'identité, open source. Avant la version 2.5.2, les installations d'OpenBao ayant une méthode d'authentification OIDC/JWT activée et un rôle configuré avec `callback_mode=direct` sont vulnérables à une attaque XSS via le paramètre `error_description` sur la page d'échec d'authentification. Cela permet à un attaquant d'accéder au jeton (token) utilisé dans l'interface Web (Web UI) par une victime. Le paramètre `error_description` a été remplacé par un message d'erreur statique dans la version 2.5.2. La vulnérabilité peut être atténuée en supprimant tous les rôles ayant `callback_mode` défini sur `direct`.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353934

CPE

prêt

EPSS

0.00287

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!