CVE-2026-33495: Authentication Bypass in Ory Oathkeeper
Plataforma
go
Componente
github.com/ory/oathkeeper
Corregido en
0.40.10-0.20260320084810-e9acca14a04d
El CVE-2026-33495 describe una vulnerabilidad de bypass de autenticación en Ory Oathkeeper. Esta falla se produce cuando Oathkeeper, frecuentemente desplegado detrás de proxies o CDN, no valida correctamente el encabezado X-Forwarded-Proto. Esto permite a un atacante manipular el protocolo (HTTP vs. HTTPS) percibido por Oathkeeper, eludiendo las reglas de autenticación configuradas. La vulnerabilidad afecta a versiones anteriores a 0.40.10-0.20260320084810-e9acca14a04d y se ha solucionado en esa versión.
Detecta esta CVE en tu proyecto
Sube tu archivo go.mod y te decimos al instante si estás afectado.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede eludir los mecanismos de autenticación de Ory Oathkeeper. Esto significa que podría acceder a recursos protegidos sin las credenciales adecuadas. El impacto potencial es significativo, ya que Oathkeeper se utiliza a menudo como un componente central en la autenticación y autorización de aplicaciones. La manipulación del encabezado X-Forwarded-Proto podría permitir a un atacante, por ejemplo, acceder a endpoints que requieren HTTPS cuando en realidad la conexión es HTTP, o viceversa, dependiendo de la configuración del proxy. La severidad de este bypass depende de la configuración específica de Oathkeeper y los recursos que protege, pero en escenarios mal configurados, podría resultar en una completa comprometer la seguridad de la aplicación.
Contexto de Explotación
La vulnerabilidad CVE-2026-33495 fue publicada el 20 de marzo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (bypass de autenticación) la convierte en un objetivo potencial. La probabilidad de explotación se considera media, dado que requiere una configuración específica del proxy y la capacidad de manipular los encabezados HTTP. No se ha listado en KEV ni tiene un puntaje EPSS asignado al momento de la publicación.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Bajo — acceso parcial o indirecto a algunos datos.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para el CVE-2026-33495 es actualizar a la versión 0.40.10-0.20260320084810-e9acca14a04d o posterior. Si la actualización inmediata no es posible, se recomienda deshabilitar la configuración serve.proxy.trustforwardedheaders en Oathkeeper, aunque esto podría afectar la funcionalidad de otras aplicaciones que dependen de estos encabezados. Además, revise la configuración de sus proxies y CDN para asegurar que los encabezados X-Forwarded- se estén configurando de manera segura y consistente. Implementar reglas de firewall o WAF que validen y restrinjan los valores de estos encabezados también puede ayudar a mitigar el riesgo. Después de la actualización, confirme que la autenticación funciona correctamente y que los encabezados X-Forwarded- se están manejando según lo esperado.
Cómo corregirlotraduciendo…
Actualice Ory Oathkeeper a la versión 26.2.0 o superior. Como mitigación adicional, se recomienda eliminar cualquier encabezado inesperado lo antes posible al manejar una solicitud, por ejemplo, en el WAF.
Preguntas frecuentes
What is CVE-2026-33495 — Authentication Bypass in Ory Oathkeeper?
CVE-2026-33495 es una vulnerabilidad de bypass de autenticación en Ory Oathkeeper que permite a un atacante eludir la autenticación manipulando el encabezado X-Forwarded-Proto. Afecta a versiones anteriores a 0.40.10-0.20260320084810-e9acca14a04d.
Am I affected by CVE-2026-33495 in Ory Oathkeeper?
Si está utilizando una versión de Ory Oathkeeper anterior a 0.40.10-0.20260320084810-e9acca14a04d y lo ha desplegado detrás de un proxy o CDN, es probable que esté afectado.
How do I fix CVE-2026-33495 in Ory Oathkeeper?
La solución es actualizar a la versión 0.40.10-0.20260320084810-e9acca14a04d o posterior. Si la actualización no es posible, desactive serve.proxy.trustforwardedheaders.
Is CVE-2026-33495 being actively exploited?
No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad la convierte en un objetivo potencial.
Where can I find the official Ory Oathkeeper advisory for CVE-2026-33495?
Consulte la documentación oficial de Ory Oathkeeper y su blog de seguridad para obtener información actualizada sobre esta vulnerabilidad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo go.mod y te decimos al instante si estás afectado.
Escanea tu proyecto Go ahora — sin cuenta
Sube tu go.mod y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...