CVE-2026-33757 in OpenBaoinformazioni

Riassunto

di VulDB • 15/06/2026

OpenBao è un sistema open source per la gestione dei segreti basato sull'identità. Prima della versione 2.5.2, OpenBao non richiede la conferma dell'utente durante l'accesso tramite JWT/OIDC quando un ruolo ha `callback_mode` impostato su `direct`. Ciò consente a un attaccante di avviare una richiesta di autenticazione ed eseguire un "phishing remoto" inducendo la vittima a visitare l'URL e ad accedere automaticamente alla sessione dell'attaccante. Nonostante sia basato sul flusso di autorizzazione (authorization code flow), la modalità `direct` richiama direttamente l'API e consente a un attaccante di effettuare polling per ottenere un token OpenBao fino alla sua emissione. La versione 2.5.2 include una schermata di conferma aggiuntiva per gli accessi di tipo `direct` che richiede un'interazione manuale dell'utente per completare l'autenticazione. Questo problema può essere aggirato rimuovendo tutti i ruoli con `callback_mode=direct` o imponendo la conferma per ogni sessione sul lato dell'emittente del token per il Client ID utilizzato da OpenBao.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00411

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!