CVE-2026-33757 in OpenBao정보

요약

\~에 의해 VulDB • 2026. 05. 14.

OpenBao는 기반 기반의 비밀 정보 관리 시스템입니다. 버전 2.5.2 이전의 OpenBao는 JWT/OIDC를 통해 로그인할 때 `callback_mode`가 `direct`로 설정된 역할에 대해 사용자 확인을 요청하지 않습니다. 이로 인해 공격자가 인증 요청을 시작하고 피해자가 URL을 방문하도록 유도하여 공격자의 세션에 자동으로 로그인하는 '원격 피싱'을 수행할 수 있습니다. 인증 코드 흐름을 기반으로 하지만, `direct` 모드는 API로 직접 콜백을 호출하며 공격자가 OpenBao 토큰이 발급될 때까지 토큰을 폴링할 수 있게 합니다. 버전 2.5.2는 `direct` 유형 로그인을 위해 수동 사용자 상호작용이 필요한 추가 확인 화면을 포함합니다. 이 문제는 `callback_mode=direct`인 역할을 제거하거나 OpenBao가 사용하는 클라이언트 ID에 대해 토큰 발급자 측에서 모든 세션에 대해 확인을 강제함으로써 우회할 수 있습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353927

EPSS

0.00411

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!