CVE-2026-33495 in oathkeeperinformação

Sumário

de VulDB • 28/05/2026

O Ory Oathkeeper é um Proxy de Identidade e Acesso (IAP) e uma API de Decisão de Controle de Acesso que autoriza solicitações HTTP com base em conjuntos de Regras de Acesso. O Ory Oathkeeper é frequentemente implantado atrás de outros componentes, como CDNs, WAFs ou proxies reversos. Dependendo da configuração, outro componente pode encaminhar a solicitação para o proxy Oathkeeper com um protocolo diferente (http vs. https) do que o da solicitação original. Para corresponder adequadamente a solicitação às regras configuradas, o Oathkeeper considera o cabeçalho `X-Forwarded-Proto` ao avaliar as regras. A opção de configuração `serve.proxy.trust_forwarded_headers` (padrão é false) determina se este e outros cabeçalhos `X-Forwarded-*` devem ser confiáveis. Antes da versão 26.2.0, o Oathkeeper não respeitava adequadamente essa configuração e sempre considerava o cabeçalho `X-Forwarded-Proto`. Para que um atacante explore isso, uma instalação do Ory Oathkeeper precisa ter regras distintas para solicitações HTTP e HTTPS. Além disso, o atacante precisa ser capaz de acionar uma regra, mas não a outra. Nesse cenário, o atacante pode enviar a mesma solicitação, mas com o cabeçalho `X-Forwarded-Proto`, para acionar a outra regra. Não esperamos que muitas configurações atendam a esses pré-requisitos. A versão 26.2.0 contém um patch. O Ory Oathkeeper respeitará corretamente a configuração `serve.proxy.trust_forwarded_headers` a partir de agora, eliminando assim o cenário de ataque. Recomendamos a atualização para uma versão corrigida mesmo que os pré-requisitos não sejam atendidos. Como mitigação adicional, geralmente recomenda-se descartar quaisquer cabeçalhos inesperados o mais cedo possível quando uma solicitação for processada, por exemplo, no WAF.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353672

CPE

pronto

EPSS

0.00233

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!