無料スキャン
CRITICALCVE-2026-33757CVSS 9.6

OpenBao は、OIDC ダイレクトコールバックモードに対してユーザー確認を欠いている

プラットフォーム

go

コンポーネント

openbao

修正版

2.5.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2026-33757は、OpenBaoにおける認証バイパスの脆弱性です。この脆弱性により、攻撃者がJWT/OIDCログインを利用して、被害者のセッションを乗っ取ることが可能になります。2.5.2より前のバージョンが影響を受けます。この問題はバージョン2.5.2で修正されています。

Go

このCVEがあなたのプロジェクトに影響するか確認

go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。

go.mod をアップロード

影響と攻撃シナリオ

CVE-2026-33757 は、OpenBao というオープンソースの ID ベースのシークレット管理システムに影響を与えます。この脆弱性は、JWT/OIDC を介してログインする際に、callback_modedirect に設定されたロールがある場合、ユーザーの確認がないことにあります。これにより、攻撃者は認証リクエストを開始し、「リモートフィッシング」を実行して、被害者に URL を訪問させ、攻撃者のセッションに自動的にログインさせることができます。認証コードフローに基づいているにもかかわらず、direct モードは API に直接コールバックを行うため、標準的な保護機能を回避します。この脆弱性は CVSS スコア 9.6 を持ち、重大なリスクを示しています。

悪用の状況

攻撃者は、OpenBao の正規のログインページを模倣した悪意のある URL を作成することで、この脆弱性を悪用する可能性があります。ユーザーをこの URL に誘導することで、攻撃者は認証プロセスを開始し、direct 設定により、ユーザーは攻撃者のセッションに自動的にログインします。これにより、攻撃者は侵害されたユーザーの権限で OpenBao が管理するシークレットにアクセスできるようになります。Exploit の容易さと影響の重大さを考慮すると、この脆弱性は大きな脅威となります。

リスク対象者翻訳中…

Organizations utilizing OpenBao for secrets management, particularly those relying on JWT/OIDC authentication with roles configured for callback_mode: direct, are at significant risk. Shared hosting environments where OpenBao instances are deployed alongside other applications are also vulnerable, as a compromise of one instance could potentially lead to broader access.

検出手順翻訳中…

• linux / server:

journalctl -u openbao | grep -i "callback_mode: direct"

• generic web:

curl -I <openbao_auth_endpoint> | grep -i "callback_mode"

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L9.6CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityLowサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
低 — 部分的または断続的なサービス拒否。

影響を受けるソフトウェア

コンポーネントopenbao
ベンダーopenbao
影響範囲修正版
< 2.5.2 – < 2.5.22.5.3

弱点分類 (CWE)

CWE-384

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

CVE-2026-33757 の解決策は、OpenBao をバージョン 2.5.2 以降にアップデートすることです。このバージョンは、JWT/OIDC を使用してログインする際に、callbackmodedirect に設定されている場合にユーザーの確認がないことを修正します。リモートフィッシング攻撃のリスクを軽減するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、OpenBao 内のロール設定を確認し、callbackmode が絶対に必要でない限り direct に設定されていないことを確認してください。OpenBao のログを監視して、認証に関連する疑わしいアクティビティを検出します。

修正方法

OpenBao をバージョン 2.5.2 以降に更新してください。または、`callback_mode=direct` のロールを削除するか、OpenBao で使用される Client ID に対してトークン発行側で各セッションの確認を強制してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33757 とは何ですか?(OpenBao)

OpenBao は、オープンソースの ID ベースのシークレット管理システムです。

OpenBao の CVE-2026-33757 による影響を受けていますか?

バージョン 2.5.2 は、リモートフィッシング攻撃を可能にする CVE-2026-33757 を修正します。

OpenBao の CVE-2026-33757 を修正するにはどうすればよいですか?

これは、OpenBao 内の構成で、API への直接コールバックを可能にし、ユーザーの確認を回避し、脆弱性の悪用を容易にします。

CVE-2026-33757 は積極的に悪用されていますか?

OpenBao の 2.5.2 より前のバージョンを使用しており、callback_modedirect に設定されたロールがある場合は、影響を受けている可能性があります。

CVE-2026-33757 に関する OpenBao の公式アドバイザリはどこで確認できますか?

すべてのユーザーのパスワードをすぐに変更し、OpenBao のログを監視して疑わしいアクティビティを検出してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索