CVE-2026-33495 in oathkeeper정보

요약

\~에 의해 VulDB • 2026. 05. 10.

ORY Oathkeeper는 Access Rules 집합에 기반하여 HTTP 요청을 승인하는 Identity & Access Proxy(IAP) 및 Access Control Decision API입니다. Ory Oathkeeper는 일반적으로 CDN, WAF 또는 reverse proxy와 같은 다른 컴포넌트 뒤에 배포됩니다. 설정에 따라 다른 컴포넌트가 원래 요청과 다른 프로토콜(http vs. https)로 요청을 Oathkeeper 프록시로 전달할 수 있습니다. 구성된 규칙과 요청을 적절히 일치시키기 위해 Oathkeeper는 규칙을 평가할 때 `X-Forwarded-Proto` 헤더를 고려합니다. 구성 옵션 `serve.proxy.trust_forwarded_headers`(기본값은 false)는 이 헤더 및 기타 `X-Forwarded-*` 헤더를 신뢰할지 여부를 결정합니다. 버전 26.2.0 이전의 Oathkeeper는 이 구성을 적절히 준수하지 않았으며, 항상 `X-Forwarded-Proto` 헤더를 고려했습니다. 공격자가 이를 악용하려면 Ory Oathkeeper 설치 환경에서 HTTP 및 HTTPS 요청에 대해 서로 다른 규칙이 정의되어 있어야 합니다. 또한 공격자가 하나의 규칙만 트리거할 수 있어야 합니다. 이러한 시나리오에서 공격자는 동일한 요청을 보내되 `X-Forwarded-Proto` 헤더를 포함시켜 다른 규칙을 트리거할 수 있습니다. 이러한 전제 조건을 충족하는 설정은 많지 않을 것으로 예상됩니다. 버전 26.2.0에는 패치가 포함되어 있습니다. Ory Oathkeeper는 향후 `serve.proxy.trust_forwarded_headers` 구성을 올바르게 준수하여 해당 공격 시나리오를 제거합니다. 전제 조건이 충족되지 않더라도 수정된 버전으로 업그레이드하는 것을 권장합니다. 추가적인 완화 조치로서, 요청 처리 시 예상치 못한 헤더를 가능한 한 초기 단계(예: WAF에서)에서 삭제하는 것이 일반적으로 권장됩니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 20.

모더레이션

수락

항목

VDB-353672

EPSS

0.00233

출처

Might our Artificial Intelligence support you?

Check our Alexa App!