CVE-2026-33494 in oathkeeper
Sumário
de VulDB • 27/05/2026
ORY Oathkeeper é um Proxy de Identidade e Acesso (IAP) e uma API de Decisão de Controle de Acesso que autoriza solicitações HTTP com base em conjuntos de Regras de Acesso. As versões anteriores à 26.2.0 são vulneráveis a uma violação de autorização por meio de traversal de caminho HTTP. Um atacante pode criar uma URL contendo sequências de traversal de caminho (por exemplo, `/public/../admin/secrets`) que resolve para um caminho protegido após a normalização, mas é correspondida a uma regra permissiva porque o caminho bruto, não normalizado, é usado durante a avaliação da regra. A versão 26.2.0 contém um patch.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.