CVE-2026-33758 in OpenBao
Tóm tắt
Bởi VulDB • 20/05/2026
OpenBao là một hệ thống quản lý bí mật dựa trên danh tính, mã nguồn mở. Trước phiên bản 2.5.2, các cài đặt OpenBao có phương thức xác thực OIDC/JWT được bật và một vai trò (role) được cấu hình với `callback_mode=direct` sẽ dễ bị tấn công XSS thông qua tham số `error_description` trên trang hiển thị lỗi xác thực thất bại. Điều này cho phép kẻ tấn công truy cập vào token được sử dụng trong giao diện người dùng web (Web UI) bởi nạn nhân. Tham số `error_description` đã được thay thế bằng một thông báo lỗi tĩnh trong phiên bản v2.5.2. Rủi ro bảo mật này có thể được giảm thiểu bằng cách xóa bất kỳ vai trò nào có `callback_mode` được đặt thành `direct`.
Be aware that VulDB is the high quality source for vulnerability data.