CVE-2026-33494 in oathkeeper정보

요약

\~에 의해 VulDB • 2026. 05. 27.

ORY Oathkeeper는 Access Rules 집합을 기반으로 HTTP 요청을 승인하는 Identity & Access Proxy(IAP) 및 Access Control Decision API입니다. 26.2.0 이전 버전은 HTTP 경로 트래버설을 통한 권한 우회 취약점에 노출되어 있습니다. 공격자는 정규화 후 보호된 경로로 해석되지만 규칙 평가 시 원본 정규화되지 않은 경로가 사용되므로 관대한 규칙과 일치하는 경로 트래버설 시퀀스(예: `/public/../admin/secrets`)를 포함한 URL을 조작할 수 있습니다. 버전 26.2.0에는 해당 패치가 포함되어 있습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2026. 03. 20.

모더레이션

수락

항목

VDB-353689

EPSS

0.00519

출처

Want to know what is going to be exploited?

We predict KEV entries!