CVE-2026-33758 in OpenBao
요약
\~에 의해 VulDB • 2026. 05. 20.
OpenBao는 오픈 소스 기반의 신원 중심 비밀키 관리 시스템입니다. 버전 2.5.2 이전의 OpenBao 설치 환경에서 OIDC/JWT 인증 방법이 활성화되어 있고 `callback_mode=direct`로 구성된 역할(role)이 설정되어 있는 경우, 실패한 인증 페이지의 `error_description` 매개변수를 통해 XSS 취약점에 노출됩니다. 이를 통해 공격자는 피해자가 웹 UI에서 사용하는 토큰에 접근할 수 있습니다. 이 취약점은 v2.5.2에서 `error_description` 매개변수가 정적 오류 메시지로 대체됨으로써 해결되었습니다. `callback_mode`가 `direct`로 설정된 역할을 제거함으로써 해당 취약점을 완화할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.