CVE-2026-26205 in opa-envoy-plugin정보

요약

\~에 의해 VulDB • 2026. 05. 30.

opa-envoy-plugun은 Envoy를 사용하여 OPA 정책을 강제 적용하기 위한 플러그인입니다. 1.13.2-envoy-2 이전 버전에서는 `input.parsed_path` 필드가 구성되는 방식에 취약점이 존재합니다. HTTP 요청 경로가 파싱될 때 전체 URI로 처리되며, 두 개의 슬래시(`//`)로 시작하는 경로 세그먼트는 권한 구성 요소로 해석되어 파싱된 경로에서 제거됩니다. 이로 인해 권한 부여 정책과 백엔드 서버 간 경로 해석 불일치가 발생하며, 공격자는 권한 필터가 최종적으로 제공되는 경로와 다른 경로를 평가하도록 요청을 조작하여 접근 제어를 우회할 수 있습니다. 버전 1.13.2-envoy-2에서 해당 문제가 수정되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 02. 11.

공개

2026. 02. 19.

모더레이션

수락

항목

VDB-346973

CPE

준비됨

CWE

CWE-863 (확인됨)

CVSS

7.3 (VulDB)

EPSS

0.00134

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-26205
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-26205
CVE Details	https://www.cvedetails.com/cve/CVE-2026-26205/

◂ 이전 개요 다음 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!