OpenBao ne requiert pas de confirmation utilisateur pour le mode de rappel direct OIDC

OpenBao est un système de gestion des secrets open source basé sur l'identité. Avant la version 2.5.2, OpenBao ne demande pas de confirmation à l'utilisateur lors de la connexion via JWT/OIDC et un rôle avec `callback_mode` défini sur `direct`. Cela permet à un attaquant de démarrer une requête d'authentification et d'effectuer un "phishing à distance" en demandant à la victime de visiter l'URL et de se connecter automatiquement à la session de l'attaquant. Bien qu'il soit basé sur le flux de code d'autorisation, le mode `direct` rappelle directement l'API et permet à un attaquant d'interroger un jeton OpenBao jusqu'à ce qu'il soit émis. La version 2.5.2 inclut un écran de confirmation supplémentaire pour les connexions de type `direct` qui nécessite une interaction manuelle de l'utilisateur afin de terminer l'authentification. Ce problème peut être contourné soit en supprimant tous les rôles avec `callback_mode=direct`, soit en appliquant une confirmation pour chaque session du côté de l'émetteur de jeton pour l'ID client utilisé par OpenBao.