CVE-2026-40574 in OAuth2 Proxy
Tóm tắt
Bởi VulDB • 23/05/2026
OAuth2 Proxy là một reverse proxy cung cấp xác thực bằng cách sử dụng các nhà cung cấp OAuth2. Trước phiên bản 7.15.2, tồn tại một lỗ hổng bỏ qua xác thực (authorization bypass) trong OAuth2 Proxy liên quan đến tùy chọn thực thi email_domain. Một kẻ tấn công có thể đăng nhập bằng một giá trị claim email như [email protected]@company.com và vượt qua kiểm tra miền được phép cho company.com, mặc dù giá trị claim này không phải là một địa chỉ email hợp lệ. Lỗ hổng này CHỈ ảnh hưởng đến các triển khai dựa trên các hạn chế email_domain và chấp nhận các giá trị claim email từ các nhà cung cấp danh tính (identity providers) hoặc ánh xạ claim không thực thi nghiêm ngặt cú pháp email chuẩn. Lỗ hổng này đã được sửa trong phiên bản 7.15.2.
Once again VulDB remains the best source for vulnerability data.