Plattform
go
Komponente
github.com/ory/oathkeeper
Behoben in
26.2.1
0.40.10-0.20260320084758-8e0002140491
CVE-2026-33494 represents a critical Path Traversal vulnerability within the Ory Oathkeeper authentication server. This flaw allows attackers to bypass authorization checks by manipulating URLs to access protected resources, effectively circumventing intended security measures. The vulnerability impacts versions of Ory Oathkeeper prior to 0.40.10-0.20260320084758-8e0002140491, and a patch addressing this issue has been released.
Die CVE-2026-33494-Schwachstelle in Ory Oathkeeper ermöglicht einen Autorisierungs-Bypass über HTTP-Pfad-Traversal. Ein Angreifer kann eine URL erstellen, die Pfad-Traversal-Sequenzen (z. B. /public/../admin/secrets) enthält, die nach der Normalisierung zu einem geschützten Pfad aufgelöst werden, aber aufgrund der Verwendung des rohen, nicht normalisierten Pfads während der Regelbewertung mit einer permissiven Regel übereinstimmt. Dies kann zu unbefugtem Zugriff auf sensible Ressourcen führen.
Diese Schwachstelle wird ausgenutzt, indem bösartige URLs erstellt werden, die Pfad-Traversal-Sequenzen (z. B. ../) verwenden, um auf Verzeichnisse oder Dateien außerhalb des vorgesehenen Bereichs zuzugreifen. Wenn eine Oathkeeper-Regel für den nicht normalisierten Pfad permissiv ist, kann ein Angreifer die Autorisierungskontrollen umgehen und auf geschützte Ressourcen zugreifen. Die Effektivität der Ausnutzung hängt von der Konfiguration der Oathkeeper-Regeln und der Serververzeichnisstruktur ab.
Organizations relying on Ory Oathkeeper for authentication, particularly those with complex rule configurations or legacy deployments, are at risk. Shared hosting environments where Oathkeeper instances are configured with permissive rules are also particularly vulnerable.
• linux / server:
journalctl -u oathkeeper -g "path traversal"• generic web:
curl -I 'http://your-oathkeeper-server/public/../admin/secrets' # Check for unexpected responses• generic web:
grep -r '/../' /var/log/nginx/access.log # Look for path traversal attempts in access logsdisclosure
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
CVSS-Vektor
Die Abmilderung dieser Schwachstelle besteht darin, auf Version 0.40.10-0.20260320084758-8e0002140491 von Ory Oathkeeper oder höher zu aktualisieren. Diese Version behebt das Problem, indem sichergestellt wird, dass Regeln anhand des normalisierten Pfads bewertet werden, wodurch der Autorisierungs-Bypass verhindert wird. Es wird empfohlen, Oathkeeper-Regeln zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie mit Sicherheitsprinzipien übereinstimmen und die Angriffsfläche minimieren.
Aktualisieren Sie Ory Oathkeeper auf Version 26.2.0 oder höher. Diese Version enthält eine Korrektur für die (path traversal) Schwachstelle. Das Update verhindert, dass Angreifer die Autorisierung durch Manipulation von Pfaden umgehen.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ory Oathkeeper ist ein Open-Source-Autorisierungsserver, der den Zugriff auf Ihre APIs und Anwendungen steuert.
Wenn Sie eine Version von Oathkeeper vor 0.40.10-0.20260320084758-8e0002140491 verwenden, sind Sie wahrscheinlich betroffen.
HTTP-Pfad-Traversal ist eine Technik, mit der ein Angreifer außerhalb des vorgesehenen Webverzeichnisses navigieren kann, indem er Sequenzen wie ../ verwendet, um auf Dateien oder Verzeichnisse zuzugreifen, auf die er keinen Zugriff haben sollte.
Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. den Zugriff auf sensible Ressourcen einschränken und Oathkeeper-Regeln sorgfältig überprüfen.
Sie finden weitere Informationen zu dieser Schwachstelle auf der Seite CVE-2026-33494 in Vulnerabilitätsdatenbanken wie NVD oder in der Ory Oathkeeper-Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.