UNKNOWNCVE-2026-33494
Ory Oathkeeper (CVE-2026-33494): パストラバーサル
プラットフォーム
go
コンポーネント
github.com/ory/oathkeeper
修正バージョン
0.40.10-0.20260320084758-8e0002140491
CVE-2026-33494は、Ory Oathkeeperにおけるパス・トラバーサルの脆弱性です。この脆弱性により、攻撃者はパス・トラバーサルシーケンスを含むURLを作成し、保護されたパスにアクセスできます。影響を受ける可能性があります。この問題は、パスの正規化が不十分なことが原因です。この問題は、バージョン0.40.10-0.20260320084758-8e0002140491で修正されました。
修正方法
Ory Oathkeeperをバージョン26.2.0以降にアップグレードしてください。このバージョンには、パスのトラバーサルの脆弱性に対する修正が含まれています。アップグレードにより、攻撃者がパスの操作によって認証を回避することを防ぎます。
よくある質問
CVE-2026-33494とは何ですか?
Ory Oathkeeperのパス・トラバーサル脆弱性で、攻撃者がパス・トラバーサルシーケンスを含むURLを作成し、保護されたパスにアクセスできる問題です。
影響を受ける可能性はありますか?
Ory Oathkeeperを使用している場合は、この脆弱性の影響を受ける可能性があります。
どのように修正すればよいですか?
Ory Oathkeeperをバージョン0.40.10-0.20260320084758-8e0002140491以降にアップデートしてください。