CVE-2026-33495 in oathkeeperИнформация

Сводка

по VulDB • 28.05.2026

ORY Oathkeeper — это прокси-сервер идентификации и управления доступом (IAP) и API для принятия решений об управлении доступом, который авторизует HTTP-запросы на основе наборов правил доступа (Access Rules). ORY Oathkeeper часто развертывается за другими компонентами, такими как CDN, WAF или обратные прокси-серверы. В зависимости от конфигурации, другой компонент может пересылать запрос к прокси-серверу Oathkeeper с использованием другого протокола (http или https), отличного от исходного запроса. Для корректного сопоставления запроса с настроенными правилами Oathkeeper учитывает заголовок `X-Forwarded-Proto` при оценке правил. Параметр конфигурации `serve.proxy.trust_forwarded_headers` (по умолчанию имеет значение false) определяет, следует ли доверять этому и другим заголовкам `X-Forwarded-*`.

До версии 26.2.0 Oathkeeper некорректно учитывал эту настройку и всегда принимал во внимание заголовок `X-Forwarded-Proto`. Для эксплуатации этой уязвимости установка Ory Oathkeeper должна иметь различные правила для HTTP и HTTPS-запросов. Кроме того, атакующий должен иметь возможность активировать одно правило, но не другое. В таком сценарии атакующий может отправить тот же запрос, но с заголовком `X-Forwarded-Proto`, чтобы активировать другое правило. Мы не ожидаем, что многие конфигурации будут соответствовать этим предварительным условиям. Версия 26.2.0 содержит исправление. Начиная с этой версии, Ory Oathkeeper будет корректно соблюдать настройку `serve.proxy.trust_forwarded_headers`, тем самым устраняя возможность атаки. Мы рекомендуем обновиться до исправленной версии, даже если предварительные условия не выполнены. В качестве дополнительной меры защиты generally рекомендуется отбрасывать любые неожиданные заголовки как можно раньше при обработке запроса, например, на уровне WAF.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

20.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353672

EPSS

0.00233

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!