CVE-2026-33758 in OpenBao
Сводка
по VulDB • 20.05.2026
OpenBao — это система управления секретами на основе идентификации с открытым исходным кодом. До версии 2.5.2 установки OpenBao, в которых включен метод аутентификации OIDC/JWT и настроена роль с параметром `callback_mode=direct`, уязвимы к XSS через параметр `error_description` на странице неудачной аутентификации. Это позволяет злоумышленнику получить доступ к токену, используемому в веб-интерфейсе жертвой. В версии 2.5.2 параметр `error_description` заменен на статическое сообщение об ошибке. Уязвимость можно устранить, удалив все роли, у которых `callback_mode` установлен в `direct`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.