CVE-2026-33495 in oathkeeper情報

要約

〜によって VulDB • 2026年05月10日

ORY Oathkeeperは、HTTPリクエストをアクセスルールセットに基づいて認可するIdentity & Access Proxy (IAP) およびAccess Control Decision APIです。Ory Oathkeeperは、CDN、WAF、またはリバースプロキシなどの他のコンポーネントの背後にデプロイされることがよくあります。セットアップによっては、別のコンポーネントが元のリクエストとは異なるプロトコル(http vs https)でリクエストをOathkeeperプロキシに転送する可能性があります。構成されたルールに対してリクエストを適切に一致させるため、Oathkeeperはルールを評価する際に `X-Forwarded-Proto` ヘッダーを考慮します。構成オプション `serve.proxy.trust_forwarded_headers`(デフォルトは false)は、このヘッダーおよびその他の `X-Forwarded-*` ヘッダーを信頼するかどうかを制御します。バージョン26.2.0より前では、Oathkeeperはこの構成を適切に尊重せず、常に `X-Forwarded-Proto` ヘッダーを考慮していました。攻撃者がこれを悪用するためには、Ory Oathkeeperのインストールにおいて、HTTPリクエストとHTTPSリクエストに対して異なるルールが存在する必要があります。また、攻撃者は一方のルールのみをトリガーできる必要があります。このシナリオでは、攻撃者は同じリクエストを送信しつつ、`X-Forwarded-Proto` ヘッダーを追加することで、別のルールをトリガーすることができます。これらの前提条件を満たす構成は多くないと予想されます。バージョン26.2.0にはパッチが含まれています。Ory Oathkeeperは今後、`serve.proxy.trust_forwarded_headers` 構成を正しく尊重し、これにより攻撃シナリオが解消されます。前提条件が満たされていない場合でも、修正済みバージョンへのアップグレードを推奨します。追加の緩和策として、リクエスト処理時に予期しないヘッダーを可能な限り早期に破棄することが一般的に推奨されます(例:WAFにおいて)。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年03月20日

モデレーション

承諾済み

エントリ

VDB-353672

EPSS

0.00233

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!