CVE-2026-33757 in OpenBaoinformação

Sumário

de VulDB • 15/06/2026

O OpenBao é um sistema de gerenciamento de segredos baseado em identidade de código aberto. Antes da versão 2.5.2, o OpenBao não solicita confirmação do usuário ao fazer login via JWT/OIDC e um papel com `callback_mode` definido como `direct`. Isso permite que um invasor inicie uma solicitação de autenticação e realize "phishing remoto" fazendo com que a vítima visite a URL e faça login automaticamente na sessão do invasor. Apesar de ser baseado no fluxo de código de autorização, o modo `direct` retorna diretamente para a API e permite que um invasor faça polling por um token do OpenBao até que ele seja emitido. A versão 2.5.2 inclui uma tela de confirmação adicional para logins do tipo `direct` que requer interação manual do usuário para concluir a autenticação. Este problema pode ser contornado removendo quaisquer papéis com `callback_mode=direct` ou forçando a confirmação para cada sessão no lado do emissor de tokens para o Client ID usado pelo OpenBao.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353927

CPE

pronto

EPSS

0.00411

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!