Plateforme
go
Composant
github.com/openbao/openbao
Corrigé dans
2.5.3
0.0.0-20260325133417-6e2b2dd84f0e
La vulnérabilité CVE-2026-33758 est une faille de type Cross-Site Scripting (XSS) affectant OpenBao, une solution de gestion de la sécurité. Cette faille permet à un attaquant d'injecter du code malveillant dans l'interface Web d'OpenBao, compromettant potentiellement les tokens d'authentification. Elle touche les versions antérieures à v2.5.2 et peut être corrigée en effectuant une mise à jour ou en désactivant les rôles concernés.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille en manipulant le paramètre error_description lors d'une tentative d'authentification échouée. En réussissant, il peut obtenir le token utilisé par un utilisateur légitime pour accéder à l'interface Web d'OpenBao. Cette acquisition de token permet à l'attaquant d'usurper l'identité de l'utilisateur et d'effectuer des actions en son nom, compromettant ainsi la confidentialité et l'intégrité du système. La nature de l'authentification OIDC/JWT rend cette vulnérabilité particulièrement dangereuse, car elle peut permettre un accès non autorisé à des données sensibles et des configurations critiques.
La vulnérabilité CVE-2026-33758 a été rendue publique le 26 mars 2026. Il n'y a pas d'indications d'une inclusion dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable par des acteurs malveillants disposant des compétences nécessaires. Il est important de surveiller l'évolution de la situation et de prendre les mesures de mitigation appropriées.
Statut de l'Exploit
EPSS
0.12% (percentile 31%)
CISA SSVC
La mitigation principale consiste à mettre à jour OpenBao vers la version v2.5.2 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à supprimer tous les rôles dans OpenBao qui ont le paramètre callbackmode défini sur direct. Cette action empêche l'exploitation de la vulnérabilité en désactivant le mécanisme qui permet l'injection du code malveillant. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité de l'installation et assurez-vous que les rôles avec callbackmode=direct ont été supprimés.
Mettez à jour OpenBao à la version 2.5.2 ou supérieure. Alternativement, supprimez tous les rôles avec `callback_mode` configuré comme `direct`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OIDC (OpenID Connect) and JWT (JSON Web Token) are authentication protocols used to verify user identity and grant access to applications and services.
The callback_mode=direct allows OpenBao to directly handle the authentication return, which in this case, opens the door to the XSS vulnerability.
If you cannot upgrade to OpenBao version 2.5.2 immediately, remove roles with callback_mode=direct as a temporary measure.
The OpenBao version can be found on the administration page or in the installation documentation.
Although the vulnerability was recently discovered, there is a risk it may have been exploited before the patch was released. Review audit logs for suspicious activity is recommended.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.