Plattform
go
Komponente
openbao
Behoben in
2.5.3
CVE-2026-33757 describes a remote phishing vulnerability in OpenBao related to JWT/OIDC authentication. When logging in via JWT/OIDC with a role configured with callback_mode set to direct, OpenBao versions prior to 2.5.2 do not prompt for user confirmation, potentially allowing an attacker to perform "remote phishing". This can lead to unauthorized access to a user's session. This issue affects OpenBao versions less than or equal to 2.5.2. Version 2.5.2 addresses this vulnerability.
CVE-2026-33757 betrifft OpenBao, ein quelloffenes Identity-basiertes Secrets-Management-System. Die Schwachstelle liegt in der fehlenden Benutzerbestätigung bei der Anmeldung über JWT/OIDC und einer Rolle mit callback_mode, der auf direct gesetzt ist. Dies ermöglicht einem Angreifer, eine Authentifizierungsanfrage zu initiieren und "Remote-Phishing" durchzuführen, indem er das Opfer dazu bringt, die URL zu besuchen und sich automatisch in der Sitzung des Angreifers anzumelden. Obwohl es auf dem Autorisierungs-Code-Flow basiert, führt der direct-Modus einen direkten Callback an die API durch und umgeht so Standard-Schutzmaßnahmen. Diese Schwachstelle hat einen CVSS-Wert von 9,6, was ein kritisches Risiko anzeigt.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige URL erstellt, die eine legitime OpenBao-Anmeldeseite imitiert. Indem er einen Benutzer dazu verleitet, diese URL zu besuchen, könnte der Angreifer den Authentifizierungsprozess starten und, aufgrund der direct-Konfiguration, würde der Benutzer automatisch in der Sitzung des Angreifers angemeldet. Dies würde es dem Angreifer ermöglichen, die von OpenBao verwalteten Geheimnisse mit den Berechtigungen des kompromittierten Benutzers zu verwenden. Die einfache Ausnutzbarkeit, kombiniert mit der Schwere der Auswirkungen, macht diese Schwachstelle zu einer erheblichen Bedrohung.
Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.
• linux / server:
journalctl -u openbao | grep -i "callback_mode: direct"• generic web:
curl -I <openbao_auth_endpoint> | grep -i "callback_mode"disclosure
Exploit-Status
EPSS
0.07% (21% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-33757 ist die Aktualisierung von OpenBao auf Version 2.5.2 oder höher. Diese Version behebt das Fehlen einer Benutzerbestätigung bei der Anmeldung mit JWT/OIDC und callbackmode auf direct. Wir empfehlen dringend, dieses Update so schnell wie möglich anzuwenden, um das Risiko von Remote-Phishing-Angriffen zu mindern. Überprüfen Sie außerdem die Konfiguration Ihrer Rollen in OpenBao und stellen Sie sicher, dass callbackmode nicht auf direct gesetzt ist, es sei denn, dies ist unbedingt erforderlich und die Sicherheitsimplikationen vollständig verstanden werden. Überwachen Sie die OpenBao-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit der Authentifizierung.
Actualice OpenBao a la versión 2.5.2 o superior. Como alternativa, elimine cualquier rol con `callback_mode=direct` o fuerce la confirmación para cada sesión en el lado del emisor del token para el Client ID utilizado por OpenBao.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OpenBao ist ein quelloffenes Identity-basiertes Secrets-Management-System.
Version 2.5.2 behebt die Schwachstelle CVE-2026-33757, die Remote-Phishing-Angriffe ermöglicht.
Es ist eine Konfiguration in OpenBao, die einen direkten Callback an die API ermöglicht und die Benutzerbestätigung umgeht, wodurch die Ausnutzung der Schwachstelle erleichtert wird.
Wenn Sie eine Version von OpenBao vor 2.5.2 verwenden und Rollen mit callback_mode auf direct konfiguriert haben, sind Sie wahrscheinlich betroffen.
Ändern Sie sofort die Passwörter aller Benutzer und überprüfen Sie die OpenBao-Protokolle auf verdächtige Aktivitäten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.