CVE-2026-33495 in oathkeeper
Sumário
de VulDB • 28/05/2026
O Ory Oathkeeper é um Proxy de Identidade e Acesso (IAP) e uma API de Decisão de Controle de Acesso que autoriza solicitações HTTP com base em conjuntos de Regras de Acesso. O Ory Oathkeeper é frequentemente implantado atrás de outros componentes, como CDNs, WAFs ou proxies reversos. Dependendo da configuração, outro componente pode encaminhar a solicitação para o proxy Oathkeeper com um protocolo diferente (http vs. https) do que o da solicitação original. Para corresponder adequadamente a solicitação às regras configuradas, o Oathkeeper considera o cabeçalho `X-Forwarded-Proto` ao avaliar as regras. A opção de configuração `serve.proxy.trust_forwarded_headers` (padrão é false) determina se este e outros cabeçalhos `X-Forwarded-*` devem ser confiáveis. Antes da versão 26.2.0, o Oathkeeper não respeitava adequadamente essa configuração e sempre considerava o cabeçalho `X-Forwarded-Proto`. Para que um atacante explore isso, uma instalação do Ory Oathkeeper precisa ter regras distintas para solicitações HTTP e HTTPS. Além disso, o atacante precisa ser capaz de acionar uma regra, mas não a outra. Nesse cenário, o atacante pode enviar a mesma solicitação, mas com o cabeçalho `X-Forwarded-Proto`, para acionar a outra regra. Não esperamos que muitas configurações atendam a esses pré-requisitos. A versão 26.2.0 contém um patch. O Ory Oathkeeper respeitará corretamente a configuração `serve.proxy.trust_forwarded_headers` a partir de agora, eliminando assim o cenário de ataque. Recomendamos a atualização para uma versão corrigida mesmo que os pré-requisitos não sejam atendidos. Como mitigação adicional, geralmente recomenda-se descartar quaisquer cabeçalhos inesperados o mais cedo possível quando uma solicitação for processada, por exemplo, no WAF.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.