CVE-2026-33758: OpenBao XSS en Autenticación OIDC/JWT
Plataforma
go
Componente
github.com/openbao/openbao
Corregido en
0.0.0-20260325133417-6e2b2dd84f0e
La vulnerabilidad CVE-2026-33758, de tipo XSS, afecta a OpenBao en configuraciones específicas de autenticación. Permite a un atacante acceder al token de la interfaz web de la víctima. Las versiones afectadas son aquellas con OIDC/JWT y `callback_mode=direct`. La vulnerabilidad se corrige en la versión 0.0.0-20260325133417-6e2b2dd84f0e.
Cómo corregirlo
Actualice OpenBao a la versión 2.5.2 o superior. Alternativamente, elimine cualquier rol con `callback_mode` configurado como `direct`.
Preguntas frecuentes
¿Qué es CVE-2026-33758?
Es una vulnerabilidad de Cross-Site Scripting (XSS) en OpenBao que permite a un atacante inyectar código malicioso.
¿Estoy afectado por CVE-2026-33758?
Si usas OpenBao con autenticación OIDC/JWT y roles con `callback_mode=direct`, eres vulnerable.
¿Cómo puedo solucionar CVE-2026-33758?
Actualiza a la versión 0.0.0-20260325133417-6e2b2dd84f0e o superior. Como mitigación, elimina roles con `callback_mode=direct`.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis