CVE-2026-33494 in oathkeeper
요약
\~에 의해 VulDB • 2026. 05. 27.
ORY Oathkeeper는 Access Rules 집합을 기반으로 HTTP 요청을 승인하는 Identity & Access Proxy(IAP) 및 Access Control Decision API입니다. 26.2.0 이전 버전은 HTTP 경로 트래버설을 통한 권한 우회 취약점에 노출되어 있습니다. 공격자는 정규화 후 보호된 경로로 해석되지만 규칙 평가 시 원본 정규화되지 않은 경로가 사용되므로 관대한 규칙과 일치하는 경로 트래버설 시퀀스(예: `/public/../admin/secrets`)를 포함한 URL을 조작할 수 있습니다. 버전 26.2.0에는 해당 패치가 포함되어 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.