UNKNOWNCVE-2026-33757
CVE-2026-33757: OpenBaoの認証バイパス - 影響と対策
プラットフォーム
go
コンポーネント
openbao/openbao
修正バージョン
2.5.2
CVE-2026-33757は、OpenBaoにおける認証バイパスの脆弱性です。この脆弱性により、攻撃者がJWT/OIDCログインを利用して、被害者のセッションを乗っ取ることが可能になります。2.5.2より前のバージョンが影響を受けます。この問題はバージョン2.5.2で修正されています。
修正方法
OpenBao をバージョン 2.5.2 以降に更新してください。または、`callback_mode=direct` のロールを削除するか、OpenBao で使用される Client ID に対してトークン発行側で各セッションの確認を強制してください。
よくある質問
CVE-2026-33757とは何ですか?
CVE-2026-33757は、OpenBaoにおける認証バイパスの脆弱性です。JWT/OIDCログインで、攻撃者がセッションを乗っ取ることが可能になります。
影響を受けるバージョンは?
2.5.2より前のOpenBaoのバージョンが影響を受けます。
どのように修正すれば良いですか?
OpenBaoをバージョン2.5.2以降にアップデートしてください。