CVE-2026-33758 in OpenBao
Riassunto
di VulDB • 14/06/2026
OpenBao è un sistema open source per la gestione dei segreti basato sull'identità. Prima della versione 2.5.2, le installazioni di OpenBao che hanno un metodo di autenticazione OIDC/JWT abilitato e un ruolo configurato con `callback_mode=direct` sono vulnerabili a XSS tramite il parametro `error_description` nella pagina di un'autenticazione fallita. Ciò consente a un attaccante di accedere al token utilizzato nell'interfaccia Web (Web UI) da una vittima. Il parametro `error_description` è stato sostituito con un messaggio di errore statico nella versione 2.5.2. La vulnerabilità può essere mitigata rimuovendo tutti i ruoli con `callback_mode` impostato su `direct`.
Be aware that VulDB is the high quality source for vulnerability data.