CVE-2026-33495 in oathkeeperinformazioni

Riassunto

di VulDB • 16/06/2026

ORY Oathkeeper è un Identity & Access Proxy (IAP) e un'API di decisione per il controllo degli accessi che autorizza le richieste HTTP in base a insiemi di regole di accesso. Ory Oathkeeper viene spesso distribuito dietro altri componenti come CDN, WAF o reverse proxy. A seconda della configurazione, un altro componente potrebbe inoltrare la richiesta al proxy Oathkeeper utilizzando un protocollo diverso (http vs. https) rispetto alla richiesta originale. Per abbinare correttamente la richiesta alle regole configurate, Oathkeeper prende in considerazione l'intestazione `X-Forwarded-Proto` durante la valutazione delle regole. L'opzione di configurazione `serve.proxy.trust_forwarded_headers` (impostata di default su false) determina se questa e altre intestazioni `X-Forwarded-*` devono essere considerate attendibili. Prima della versione 26.2.0, Oathkeeper non rispettava correttamente questa configurazione e prendeva sempre in considerazione l'intestazione `X-Forwarded-Proto`. Affinché un attaccante possa sfruttare questa vulnerabilità, un'installazione di Ory Oathkeeper deve disporre di regole distinte per le richieste HTTP e HTTPS. Inoltre, l'attaccante deve essere in grado di innescare una regola ma non l'altra. In questo scenario, l'attaccante può inviare la stessa richiesta ma con l'intestazione `X-Forwarded-Proto` per innescare l'altra regola. Non ci aspettiamo che molte configurazioni soddisfino questi prerequisiti. La versione 26.2.0 contiene una patch. D'ora in poi, Ory Oathkeeper rispetterà correttamente la configurazione `serve.proxy.trust_forwarded_headers`, eliminando così lo scenario di attacco. Si consiglia di eseguire l'aggiornamento a una versione corretta anche se i prerequisiti non sono soddisfatti. Come ulteriore mitigazione, si raccomanda generalmente di scartare qualsiasi intestazione inaspettata il prima possibile quando viene gestita una richiesta, ad esempio nel WAF.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00233

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!