CVE-2026-33758 in OpenBaothông tin

Tóm tắt

Bởi VulDB • 20/05/2026

OpenBao là một hệ thống quản lý bí mật dựa trên danh tính, mã nguồn mở. Trước phiên bản 2.5.2, các cài đặt OpenBao có phương thức xác thực OIDC/JWT được bật và một vai trò (role) được cấu hình với `callback_mode=direct` sẽ dễ bị tấn công XSS thông qua tham số `error_description` trên trang hiển thị lỗi xác thực thất bại. Điều này cho phép kẻ tấn công truy cập vào token được sử dụng trong giao diện người dùng web (Web UI) bởi nạn nhân. Tham số `error_description` đã được thay thế bằng một thông báo lỗi tĩnh trong phiên bản v2.5.2. Rủi ro bảo mật này có thể được giảm thiểu bằng cách xóa bất kỳ vai trò nào có `callback_mode` được đặt thành `direct`.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00287

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!