OpenBao में इसके OIDC प्रमाणीकरण त्रुटि संदेश में रिफ्लेक्टेड XSS है
प्लेटफ़ॉर्म
go
कॉम्पोनेन्ट
github.com/openbao/openbao
ठीक किया गया
0.0.0-20260325133417-6e2b2dd84f0e
### प्रभाव OpenBao इंस्टॉलेशन जिनमें OIDC/JWT प्रमाणीकरण विधि सक्षम है और `callback_mode=direct` कॉन्फ़िगरेशन वाली भूमिका है, वे विफल प्रमाणीकरण के पृष्ठ पर `error_description` पैरामीटर के माध्यम से XSS के प्रति संवेदनशील हैं। यह एक हमलावर को पीड़ित द्वारा वेब UI में उपयोग किए गए टोकन तक पहुंच प्रदान करता है। ### पैच `error_description` पैरामीटर को v2.5.2 में एक स्थिर त्रुटि संदेश से बदल दिया गया है। ### समाधान `callback_mode` को `direct` पर सेट करके किसी भी भूमिका को हटाकर भेद्यता को कम किया जा सकता है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें