Was ist Ory Oathkeeper?

Ory Oathkeeper ist ein Identitäts- und Zugriffsproxy, der HTTP-Anfragen basierend auf einer Reihe konfigurierbarer Regeln autorisiert. Es wird oft als Reverse Proxy oder Sidecar verwendet, um Authentifizierungs- und Autorisierungsrichtlinien für Anwendungen durchzusetzen.

Was ermöglicht CVE-2026-33494?

CVE-2026-33494 ermöglicht es einem Angreifer, die Authentifizierung zu umgehen, indem er Path Traversal-Techniken in der URL verwendet. Dies kann unbefugten Zugriff auf geschützte Ressourcen gewähren.

Wie behebe ich die Schwachstellen in Ory Oathkeeper?

Um diese Schwachstellen zu beheben, aktualisieren Sie Ihre Ory Oathkeeper-Abhängigkeit auf die neueste Version mit dem Befehl `go get -u github.com/ory/oathkeeper@latest`. Dadurch wird sichergestellt, dass Sie die gepatchte Version haben, die diese Probleme behebt.

Was ist die Auswirkung von CVE-2026-33495?

CVE-2026-33495 kann zu einem Authentication Bypass führen, indem der `X-Forwarded-Proto`-Header manipuliert wird. Dies ermöglicht es Angreifern, potenziell unbeabsichtigte Regeln auszulösen und unbefugten Zugriff zu erhalten.

NextGuard

Zurück zum Blog

CVSS 10.0CVE-2026-33494CVE-2026-33495

Ory Oathkeeper: Path Traversal- und Auth-Bypass-Schwachstellen

Kritische Schwachstellen in Ory Oathkeeper ermöglichen Path Traversal und Authentication Bypass. Aktualisieren Sie auf Version 0.40.10-0.20260320084758-8e0002140491 oder höher, um diese Risiken zu mindern.

Veröffentlicht am 3. April 2026

Ory Oathkeeper ist anfällig für Path Traversal- und Authentication Bypass-Schwachstellen. Diese Fehler könnten es Angreifern ermöglichen, beabsichtigte Zugriffskontrollen zu umgehen. Es sind Patches verfügbar, um diese Probleme zu beheben; Benutzer werden dringend gebeten, sofort zu aktualisieren.

Ein CVSS-Score von 10 deutet auf eine kritische Schwachstelle hin, die sofortige Aufmerksamkeit erfordert.

Was ist Github.com/ory/oathkeeper?

Github.com/ory/oathkeeper ist eine Komponente für Go, die als Identitäts- und Zugriffsproxy fungiert, um HTTP-Anfragen basierend auf einer Reihe von Regeln zu autorisieren. Es wird oft als Reverse Proxy oder Sidecar eingesetzt, um Authentifizierungs- und Autorisierungsrichtlinien durchzusetzen. Um mehr zu erfahren, suchen Sie nach allen github.com/ory/oathkeeper CVEs.

CVE-2026-33494: Path Traversal Authorization Bypass

CVSS10.0

Betroffene VersionenDiese Schwachstelle betrifft Ory Oathkeeper-Instanzen, bei denen Regeln mit Mustern konfiguriert sind, die zwischen öffentlichen und Admin-Pfaden unterscheiden, und bei denen keine Pfadnormalisierung vor dem Regelabgleich durchgeführt wird.

Kritische Schwachstelle, Exploit führt zu vollständiger Systemkompromittierung.

Ein EPSS-Score von 0,056 deutet auf eine geringe Wahrscheinlichkeit einer Ausnutzung hin.

Ory Oathkeeper ist anfällig für einen Path Traversal Authorization Bypass. Ein Angreifer kann eine URL mit Path Traversal-Sequenzen erstellen, um auf geschützte Ressourcen zuzugreifen, indem er Authentifizierungsregeln umgeht.

So beheben Sie CVE-2026-33494 in Github.com/ory/oathkeeper

Sofort patchen

1.Aktualisieren Sie Ihre Ory Oathkeeper-Abhängigkeit auf die neueste Version.

Ory Oathkeeper aktualisieren

go get -u github.com/ory/oathkeeper@latest

Workaround: Normalisieren Sie HTTP-Pfade in Schichten vor Oathkeeper mithilfe von Reverse Proxies oder CDNs wie Nginx, Envoy oder Cloudflare.

NextGuard kennzeichnet CVE-2026-33494 automatisch, wenn github.com/ory/oathkeeper in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-33495: Authentication Bypass über nicht vertrauenswürdigen Header

CVSS6.5

Betroffene VersionenDies betrifft Ory Oathkeeper-Bereitstellungen mit unterschiedlichen Regeln für HTTP- und HTTPS-Anfragen, bei denen Angreifer den `X-Forwarded-Proto`-Header beeinflussen können.

Mittlere Schweregrad, Potenzial für Authentication Bypass.

Ein EPSS-Score von 0,035 deutet auf eine sehr geringe Wahrscheinlichkeit einer Ausnutzung hin.

Ory Oathkeeper vertraut fälschlicherweise dem `X-Forwarded-Proto`-Header, was zu einem potenziellen Authentication Bypass führt. Ein Angreifer kann diesen Header manipulieren, um unbeabsichtigte Regeln auszulösen und die Authentifizierung zu umgehen.

So beheben Sie CVE-2026-33495 in Github.com/ory/oathkeeper

Innerhalb von 24 Stunden patchen

1.Aktualisieren Sie Ihre Ory Oathkeeper-Abhängigkeit auf die neueste Version.

Ory Oathkeeper aktualisieren

go get -u github.com/ory/oathkeeper@latest

Workaround: Verwerfen Sie alle unerwarteten Header so früh wie möglich, z. B. in der WAF.

NextGuard überwacht diese Schwachstelle und benachrichtigt Sie, wenn github.com/ory/oathkeeper in Ihren Abhängigkeiten erkannt wird.

Bleiben Sie Go-Schwachstellen einen Schritt voraus

Erkennen und reagieren Sie proaktiv auf Sicherheitsbedrohungen in Ihren Go-Projekten. Verwenden Sie NextGuard, um Ihre Go-Abhängigkeiten zu überwachen.

Pläne vergleichen

Häufig gestellte Fragen

Diese Schwachstellen stellen ein erhebliches Risiko für Ory Oathkeeper-Bereitstellungen dar. Stellen Sie sicher, dass Sie auf die neueste Version aktualisieren und empfohlene Workarounds implementieren. Alle Go-Schwachstellen anzeigen.

Verwandte Themen

Path TraversalAuthentication BypassGo SecurityOry OathkeeperAccess Control