CVE-2026-33496 in oathkeeperinformação

Sumário

de VulDB • 22/05/2026

ORY Oathkeeper é um Proxy de Identidade e Acesso (IAP) e uma API de Decisão de Controle de Acesso que autoriza solicitações HTTP com base em conjuntos de Regras de Acesso. As versões anteriores à 26.2.0 são vulneráveis a bypass de autenticação devido a confusão de chaves de cache. O cache do autenticador `oauth2_introspection` não distingue tokens que foram validados com diferentes URLs de introspecção. Um atacante pode, portanto, utilizar legitimamente um token para popular o cache e, em seguida, usar o mesmo token para regras que utilizam um servidor de introspecção diferente. O Ory Oathkeeper deve ser configurado com vários servidores de autenticador `oauth2_introspection`, cada um aceitando tokens diferentes. Os autenticadores também devem ser configurados para usar cache. Um atacante precisa ter uma maneira de obter um token válido para um dos servidores de introspecção configurados. A partir da versão 26.2.0, o Ory Oathkeeper inclui a URL do servidor de introspecção na chave de cache, impedindo a confusão de tokens. Atualize para a versão corrigida do Ory Oathkeeper. Se isso não for imediatamente possível, desative o cache para os autenticadores `oauth2_introspection`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353688

CPE

pronto

EPSS

0.00333

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!