Plateforme
go
Composant
openbao
Corrigé dans
2.5.3
CVE-2026-33757 affecte OpenBao, un système de gestion de secrets. Il permet une attaque de phishing à distance via JWT/OIDC en exploitant le mode direct sans confirmation utilisateur. Un attaquant peut ainsi initier une requête d'authentification et piéger une victime pour qu'elle se connecte automatiquement à sa session. Les versions d'OpenBao inférieures à 2.5.2 sont vulnérables. La version 2.5.2 corrige cette faille.
CVE-2026-33757 affecte OpenBao, un système de gestion de secrets basé sur l'identité et open source. La vulnérabilité réside dans l'absence de confirmation de l'utilisateur lors de la connexion via JWT/OIDC et un rôle avec callback_mode défini sur direct. Cela permet à un attaquant de lancer une requête d'authentification et de réaliser un "phishing à distance" en incitant la victime à visiter l'URL et à se connecter automatiquement à la session de l'attaquant. Bien qu'il soit basé sur le flux d'autorisation de code, le mode direct effectue un rappel direct vers l'API, contournant les protections standard. Cette vulnérabilité a un score CVSS de 9,6, indiquant un risque critique.
Un attaquant pourrait exploiter cette vulnérabilité en créant une URL malveillante qui imiterait une page de connexion OpenBao légitime. En incitant un utilisateur à visiter cette URL, l'attaquant pourrait lancer le processus d'authentification et, en raison de la configuration direct, l'utilisateur serait automatiquement connecté à la session de l'attaquant. Cela permettrait à l'attaquant d'accéder aux secrets gérés par OpenBao avec les privilèges de l'utilisateur compromis. La facilité d'exploitation, combinée à la gravité de l'impact, fait de cette vulnérabilité une menace importante.
Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.
• linux / server:
journalctl -u openbao | grep -i "callback_mode: direct"• generic web:
curl -I <openbao_auth_endpoint> | grep -i "callback_mode"disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-33757 consiste à mettre à jour OpenBao vers la version 2.5.2 ou supérieure. Cette version corrige l'absence de confirmation de l'utilisateur lors de la connexion avec JWT/OIDC et callbackmode défini sur direct. Nous recommandons vivement d'appliquer cette mise à jour dès que possible pour atténuer le risque d'attaques de phishing à distance. De plus, examinez la configuration de vos rôles dans OpenBao, en vous assurant que callbackmode n'est pas défini sur direct sauf si cela est absolument nécessaire et que les implications de sécurité sont pleinement comprises. Surveillez les journaux d'OpenBao à la recherche d'activités suspectes liées à l'authentification.
Actualice OpenBao a la versión 2.5.2 o superior. Como alternativa, elimine cualquier rol con `callback_mode=direct` o fuerce la confirmación para cada sesión en el lado del emisor del token para el Client ID utilizado por OpenBao.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenBao est un système de gestion de secrets open source basé sur l'identité.
La version 2.5.2 corrige la vulnérabilité CVE-2026-33757, qui permet des attaques de phishing à distance.
C'est une configuration dans OpenBao qui permet un rappel direct vers l'API, contournant la confirmation de l'utilisateur et facilitant l'exploitation de la vulnérabilité.
Si vous utilisez une version d'OpenBao antérieure à la 2.5.2 et que vous avez des rôles configurés avec callback_mode défini sur direct, vous êtes probablement affecté.
Modifiez immédiatement les mots de passe de tous les utilisateurs et examinez les journaux d'OpenBao à la recherche d'activités suspectes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.