यह पृष्ठ अभी तक आपकी भाषा में अनुवादित नहीं हुआ है। हम इस पर काम कर रहे हैं, तब तक अंग्रेज़ी में सामग्री दिखाई जा रही है।
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-33495: Authentication Bypass in Ory Oathkeeper
प्लेटफ़ॉर्म
go
घटक
github.com/ory/oathkeeper
में ठीक किया गया
0.40.10-0.20260320084810-e9acca14a04d
CVE-2026-33495 describes an Authentication Bypass vulnerability in Ory Oathkeeper, a component often used for authentication and authorization. This vulnerability arises when Oathkeeper trusts X-Forwarded-Proto headers, allowing attackers to potentially bypass authentication rules if the proxy configuration is not secure. Versions prior to 0.40.10-0.20260320084810-e9acca14a04d are affected, and a patch is available.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
An attacker exploiting this vulnerability could bypass authentication checks within Ory Oathkeeper. This is particularly concerning when Oathkeeper is deployed behind reverse proxies or CDNs. By manipulating the X-Forwarded-Proto header, an attacker could trick Oathkeeper into thinking a request is using HTTPS when it's actually HTTP, or vice versa. This could lead to unauthorized access to protected resources or services that rely on Oathkeeper for authentication. The impact is amplified if Oathkeeper is a central authentication point for multiple applications, as a successful exploit could compromise a wider range of systems.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2026-33495 was published on 2026-03-20. The vulnerability's severity is Medium. No public exploits or active campaigns have been reported at the time of writing. It is not currently listed on KEV or EPSS, indicating a low to medium probability of exploitation. Review the official Ory Oathkeeper advisory for further details.
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- निम्न — कुछ डेटा तक आंशिक पहुंच।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation is to upgrade to version 0.40.10-0.20260320084810-e9acca14a04d or later. If upgrading is not immediately feasible, consider temporarily disabling the serve.proxy.trustforwardedheaders configuration option. This will prevent Oathkeeper from trusting any X-Forwarded-* headers, effectively disabling the vulnerable functionality. Ensure your reverse proxy or CDN is properly configured to only forward trusted headers and that the protocol matches the original request. Monitor Oathkeeper logs for suspicious activity related to header manipulation.
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice Ory Oathkeeper a la versión 26.2.0 o superior. Como mitigación adicional, se recomienda eliminar cualquier encabezado inesperado lo antes posible al manejar una solicitud, por ejemplo, en el WAF.
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2026-33495 — Authentication Bypass in Ory Oathkeeper?
CVE-2026-33495 is a vulnerability in Ory Oathkeeper allowing attackers to bypass authentication rules by manipulating X-Forwarded-Proto headers. This affects versions before 0.40.10-0.20260320084810-e9acca14a04d, potentially leading to unauthorized access.
Am I affected by CVE-2026-33495 in Ory Oathkeeper?
You are affected if you are running Ory Oathkeeper versions prior to 0.40.10-0.20260320084810-e9acca14a04d and are using the serve.proxy.trustforwardedheaders option. Check your version and configuration immediately.
How do I fix CVE-2026-33495 in Ory Oathkeeper?
Upgrade to version 0.40.10-0.20260320084810-e9acca14a04d or later. As a temporary workaround, disable the serve.proxy.trustforwardedheaders configuration option.
Is CVE-2026-33495 being actively exploited?
As of the current assessment, CVE-2026-33495 is not known to be actively exploited. However, it's crucial to apply the patch or workaround to prevent potential future exploitation.
Where can I find the official Ory Oathkeeper advisory for CVE-2026-33495?
Refer to the official Ory Oathkeeper security advisory for detailed information and updates regarding CVE-2026-33495: [https://www.ory.sh/security](https://www.ory.sh/security)
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।
अपने Go प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं
Upload your go.mod and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...