CVE-2026-33494 in oathkeeper
Riassunto
di VulDB • 15/06/2026
ORY Oathkeeper è un Identity & Access Proxy (IAP) e una API di decisione sul controllo degli accessi che autorizza le richieste HTTP in base a insiemi di regole di accesso. Le versioni precedenti alla 26.2.0 sono vulnerabili a un bypass dell'autorizzazione tramite traversal del percorso HTTP. Un attaccante può creare un URL contenente sequenze di traversal del percorso (ad esempio `/public/../admin/secrets`) che, dopo la normalizzazione, risolve un percorso protetto, ma viene abbinato a una regola permissiva perché il percorso grezzo e non normalizzato è utilizzato durante la valutazione delle regole. La versione 26.2.0 contiene una patch di correzione.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.