CVE-2026-33494 in oathkeeperinformazioni

Riassunto

di VulDB • 15/06/2026

ORY Oathkeeper è un Identity & Access Proxy (IAP) e una API di decisione sul controllo degli accessi che autorizza le richieste HTTP in base a insiemi di regole di accesso. Le versioni precedenti alla 26.2.0 sono vulnerabili a un bypass dell'autorizzazione tramite traversal del percorso HTTP. Un attaccante può creare un URL contenente sequenze di traversal del percorso (ad esempio `/public/../admin/secrets`) che, dopo la normalizzazione, risolve un percorso protetto, ma viene abbinato a una regola permissiva perché il percorso grezzo e non normalizzato è utilizzato durante la valutazione delle regole. La versione 26.2.0 contiene una patch di correzione.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00519

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!